정부 예산 지원 정책, 구독형 모델 맞게 개선돼야
[데이터넷] 지난해 코로나19로 인해 사회와 산업 전반에 예상치 못한 엄청난 변화가 일어났다. 전 산업 군에서 원격근무, 비대면 거래, 온라인 교육 등 디지털 전환이 가속화되면서 5~10년에 걸쳐 일어났던 변화들이 1년 만에 급속히 진행됐다. 이러한 변화는 정보보호산업에 위기이자 기회다. 이 같은 변화의 속도에 적응하는 기업들은 변혁과 성장을 가속화하는 반면, 그렇지 못한 기업들은 아쉽게도 도태되고 말 것이다.
사이버 복원력 갖지 못한 중소기업
2020년 정부는 정보보호산업 진흥계획을 발표하고 2021년부터 2025년까지의 중기적인 계획을 제시했다. 주요 키워드는 디지털 전환에 따른 비대면 서비스, 데이터의 활용, 인공지능(AI), 해외 진출, 인력 양성 등이 포함된다. 이 중에서도 단기적으로 가장 중요한 사항은 사이버 복원력 확보를 위한 생태계 조성이다.
사이버 공격이 갈수록 지능화 고도화됨에 따라 피해 규모를 최소화하기 위한 ‘사이버 복원력’의 중요성이 강조되고 있다. 사이버 복원력 확보를 위해서는 전 산업과 ICT 그리고 안전을 융합한 정보보호 내재화가 필수다.
그러나 IT/보안 인프라 및 인력이 상대적으로 부족한 영세/중소기업은 급격한 변화의 흐름 속에서 사이버 복원력 확보에 대한 대비가 어려운 실정이다. 국내 중소기업의 수는 약 663만 개에 달하며, 2017년 한국인터넷진흥원(KISA)에서 발표한 기업별 사이버 침해 사고율을 보면 전체 기업 중 98%가 중소기업으로 보안 양극화 현상이 갈수록 심화되고 있다. 결국 중소기업의 사이버 피해 사고에 대한 대책 없이는 사이버 복원력 확보라는 말은 공염불에 불과할 것이다.
중소기업 적정기술, 매니지드 보안 서비스
적정기술이라는 것이 있다. 특정 집단의 문화·정치·환경적인 면들을 고려해 만들어진 기술을 말한다. 적정 기술은 더 적은 자원을 사용하며, 유지하기 더 쉽고, 환경에 더 적은 영향을 미치기 때문에 취약한 환경에 매우 바람직한 기술이라고 여겨진다.
보안분야 또한 적정기술의 접목이 필요한 때다. 중소기업에는 무겁고 접근하기 어려운 보안보다는 최소의 비용으로 전반적인 보안을 관리, 운영, 대응할 수 있는 보안 적정기술과 서비스가 절실하다.
매니지드 보안 운영 센터(MSOC)가 바로 그 해결책이 될 수 있다. MSOC는 보안 서비스의 도입뿐만 아니라 도입 후 운영, 관리, 모니터링 등 지속적인 대응이 가능하다. 이러한 서비스가 활성화되기 위해서는 반드시 필요한 것이 있다.
첫째, 비대면 정보보호서비스의 구현이다. 영세/중소기업은 보안을 위한 인력 및 자원이 거의 없거나 매우 한정되어 있기 때문에 기존의 보안 솔루션을 도입하더라도 운영 측면에서 한계가 발생하게 된다. 이 한계를 극복하기 위해서는 비대면으로 서비스를 설치하고 운영, 관리, 대응하는 환경이 구축되어야 한다.
비대면·월 구독형 정보보호 서비스 필요
둘째, 월 구독형 사용료 지급이 전면 확대되어야 하며 국가자원의 지원체계 또한 그에 맞게 예산을 수립해야 한다. 현재 정부는 중소기업의 정보보호를 위한 지원사업 등을 통해 기업당 400만 원~1천만 원까지 1회성으로 지원하고 있다.
이때 발생할 수 있는 문제는 수혜기업이 보안 서비스 도입 이후 유지 보수에 대한 금액과 운영·관리를 스스로 감당해야 하기 때문에 서서히 서비스를 방치하게 된다는 것이다. 이 경우 지속적인 사이버 복원력을 기대하기란 어려울 수밖에 없다.
이에 대한 방안으로 정부의 지원 예산 또한 구독형 모델로 수립하는 방법을 들 수 있다. 예를 들어 기업당 400만 원을 1회성으로 지원하지 않고 월 8~9만 원의 구독형 서비스로 4년에 걸쳐 지원하는 것을 들 수 있다. 이 경우 수혜기업은 4년간 전문성을 갖춘 공급기업을 통해 쉽고 안전하게 서비스를 운영·관리할 수 있게 된다.
이런 방식으로 수혜기업을 매년 3000개씩 늘려 나간다면, 3년 후 1만 개에 가까운 중소기업이 사이버 복원력을 갖추게 될 것이며, 예산 또한 순차적으로 늘려가며 복원력의 범위를 확대할 수 있을 것이다. 적정기술을 갖춘 공급기업을 발굴할 수 있다면, 불가능한 시나리오는 아닐 것이다.
정부의 계획을 효과적으로 시행하기 위해서는 정확한 방향과 속도가 뒷받침되어야 하며 적정기술과 적정 비즈니스의 발굴이 필수적이다. 앞서 말한 비대면 정보보호서비스의 구현과 월 구독형 서비스 활성화가 중소기업의 사이버 복원력 확보에 최선의 방안이 될 것이다.
