[데이터넷] 도둑은 CCTV로 감시하는 대문으로 들어오지 않는다. CCTV가 없는 뒷문, 잠겨있지 않은 창문을 통해 들어오거나 정수기 관리사 등으로 위장해서 들어온다. 사이버 범죄자도 마찬가지다. 강력한 보안 장치로 보호되고 있는 인터넷 게이트가 아니라 공개된 취약점이 방치된 시스템, 보안 정책을 지키지 않는 사용자, 정상 업무로 위장한 이메일을 통해 진행되며, 협력업체를 통해서도 침투한다.

특히 협력업체는 보안 관리에 소홀한 편이기 때문에 공격 성공률이 매우 높다. 소규모 협력업체는 원청업체의 중요한 정보를 다루고 있음에도 보안 투자가 부족하고 보안 담당자도 충분히 고용하지 못해 공격에 취약한 편이다. 또한 중소기업에도 가치 높은 지적재산을 갖고 있지만, 보안에 취약해 탈취당하는 일이 자주 발생한다. 2016년 경찰청이 조사한 바에 따르면 91%의 기술유출사건이 중소기업에 발생했다.

한국인터넷진흥원이 2017년 조사한 바에 따르면 침해사고 중 98%가 영세·중소기업을 대상으로 일어났으며, 중소기업을 대상으로 한 사이버 공격이 2014년 2291건에서 2017년 3156건으로 늘어났다. 홈페이지 해킹(65%), 랜섬웨어(17%) 등의 공격을 주로 당했다. 그러나 정보보호를 위한 실천은 매우 미흡한 편으로, 정보보호 정책이 있는 중소기업은 11%에 불과했으며, 93%의 기업은 정보보호 예산의 1% 미만으로 배정하고 있다.

지방의 중소기업은 특히 더 열악하다. 정보보호 관련 기업의 89.7%, 인력의 55.2%, 정보보호 기업의 88.5%, 일자리 96.5%, 매출 95.3%가 서울과 수도권에 집중돼 있어 지방에서는 정보보호 인력을 찾는 것도, 일자리를 찾는 것도 쉽지 않은 일이다.

한국인터넷진흥원(KISA) 지방 중소기업의 열악한 보안 인프라 문제를 해결하기 위해 지역정보보호 지원센터를 운영하고 있다. 2014년 대구를 시작으로 중부(충북), 동남(부산), 호남(광주), 경기, 울산, 강원 등 8개 센터를 개설했드며, 2020년 2개 센터를 추가해 10개 센터를 운영할 계획이다.

지난해 센터는 종합 컨설팅 지원을 2018년 195개에서 2019년 265개로 늘려 누적 460개 곳에 지원하는 성과를 거뒀다. 보안 컨설팅과 솔루션 매칭 도입 지원도 250개를 목표로 했으나 수요가 많아 15개사를 추가지원했으며, 통합 컨설팅을 통한 중소기업 정보보호 제고 효과도 11.7% 오른 것으로 집계하고 있다. 또한 센터는 클라우드 기반 보안 서비스(SECaaS)가 추가되면서 시장 확대에 기여하고 있다고 밝혔다.

장상수 KISA 지역정보보보호총괄센터장은 “지역 중소기업들의 정보보호 수준이 올라갔다는 것을 인지하고 있으며, 개인정보 유출 등에 대한 불안감을 해소하고, 개인정보보호법 등 관련 법규에 대한 교육과 인지, 침해사고 예방·대응체계 마련 등의 성과가 있는 것으로 판단하고 있다”며 “또한 정보보호 연구회와 보안 컨퍼런스를 통해 보안 인력 양성과 협력활동을 수행하고 있다”고 말했다.

한편 센터는 올해 SECaaS 145개를 포함해 전체 400개 중소기업에 종합컨설팅을 지원하는 한편, 지역 전략·특화된 산업을 중심으로 전개할 계획이다. 또한 보안내재화를 위해 개발보안 시큐어코딩 테스트베드를 운영하면서 보안 수준 전반을 제고할 계획이다.

김선애 기자 다른기사 보기