[기획] 눈 뜨고 코 베인다…中企 보안 체력 키워야

3년간 사이버 침해사고 뚜렷한 증가세 중소·중견기업 랜섬웨어 공격 93.5% 보안 시스템 및 전문인력 확충 필요

2025-09-10     김혜나 기자
사이버

매일일보 = 김혜나 기자  |  사이버 공격 고도화로 기업의 정보 및 기술 보안의 중요성이 더욱 부각되고 있다. 특히 중소기업의 보안 강화가 시급하다는 지적이 제기된다.

10일 과학기술정보통신부와 한국인터넷진흥원(KISA)의 ‘2024년 상반기 민간 분야 주요 사이버 위협 동향’에 따르면, 최근 3년간 침해사고는 꾸준히 증가하는 것으로 나타났다. 올해 상반기만 899건이 신고, 전년 동기 대비 35% 증가했다. 이 중 웹서버 해킹과 디도스(DDoS) 공격이 주요 원인으로 지목되고 있다.

업종별로는 정보통신 분야가 302건으로 가장 많았다. 도소매업도 전년 대비 32.6% 증가해 126건에 달했다. 분석 결과, 대기업보다는 상대적으로 보안 여력이 부족한 중소규모 기업들을 노린 공격이 대다수였다. 중소기업과 중견기업을 대상으로 한 랜섬웨어 공격은 전체의 93.5%를 차지했다.

올해 상반기 주요 사이버 위협 사례로는 블록체인 기업 대상 가상자산 탈취 공격과 중소기업이나 비영리기관 대상 서버 해킹 증가, 대량 문자 발송 및 스미싱 문자 증가가 꼽혔다. 서버 해킹은 주로 중소기업과 비영리기관을 대상으로 이뤄졌다. 올해 상반기 신고 건수는 504건으로 전년 동기 대비 58% 증가했다. 스팸 문자와 스미싱 문자 발송도 증가했다.

과기부는 업무 시스템이 내부 서버가 아닌 클라우드 환경에 구축되는 형태가 보편화된 점, 다양한 소프트웨어를 도입하고 업데이트 하는 빈도가 높아진 점 등으로 위협 노출 통로가 다양해졌다고 분석했다. 최근 폭넓게 사용되는 생성형 인공지능(AI)도 또다른 위협이 됐다. 공격 대상을 선정하거나 공격 대상의 취약점 파악 자동화 등을 위해 생성형 AI를 악용하는 사례도 발생하는 추세다.

기업들은 정보보호 시스템과 전문인력 확보에서부터 어려움을 겪고 있었다. 과학기술정보통신부와 한국정보보호산업협회(KISIA)의 ‘2023 정보보호 실태조사’에 따르면, 기업들은 정보보호 관련 업무 시 애로사항으로 ‘정보보호 시스템 및 체계 운용 관리’를 53.2%로 가장 많이 꼽았다. 다음으로 ‘정보보호 전문인력 확보(채용)(44.5%)’, ‘정보보호 담당 인력 운용 관리(43.9%)’ 등이었다.

정보보호의 중요성은 커졌으나, 담당 인력은 줄었다. 기업체당 정보보호 담당 인력은 0.8명, IT 인력(주 업무: IT, 부가 업무: 정보보호)은 0.5명, 일반 사무직 인력(주 업무: 일반 사무, 부가 업무: 정보보호)은 1.2명으로 2022년 대비 정보보호 관련 인력이 모두 줄어든 것으로 나타났다.

기업들이 경험한 정보 침해사고 유형 중 ‘랜섬웨어 감염(65.6%)’이 가장 많았다. 다음으로 ‘외부로부터 침투한 비인가 접근(해킹)(15.2%)’, ‘DoS 또는 DDoS 공격으로 인한 IT 시스템 마비(13.2%)’ 순이었다.

정보 침해사고를 경험한 기업체 중 관련 기관 또는 수사 기관에 침해사고를 신고한 비율은 8.5%다. 2022년(5.8%) 대비 2.6%포인트 소폭 증가했다. 침해사고를 신고하지 않은 이유로는 ‘피해 규모가 경미하기 때문에’가 88.1%로 대부분이었다. 다음으로 ‘신고에 따른 업무가 복잡하기 때문에(25.1%)’, ‘신고하더라도 피해가 회복되지 않을 것이기 때문에 (18.1%)’가 뒤를 이었다.

대부분 기업들이 정보보호 강화에 있어 보안 시스템 사용 및 전문 인력을 두는 데 어려움을 겪는 만큼, 해당 분야에 대한 지원을 늘려야 한다는 지적이 나온다. 특히 한 기업의 피해가 협력사 등 타 기업에도 영향을 미칠 수 있어 주의가 요구된다. 

우선, 과기부와 KISA는 침해사고 신고 접수 시 유관기관과의 합동 조사를 통해 원인 분석이나 신속한 보안 패치를 진행 중이다. 중소기업이나 비영리기관은 KISA에서 운영하는 보호나라의 무료 정보보호 지원 서비스를 이용해 사전 예방 조치를 받을 수 있다는 설명이다.

중소기업 보안담당자로 근무하는 A씨는 “회사 컴퓨터로 업무를 하던 직원이 거래처에서 발송된 것처럼 위장된 스미싱 메일을 열어 파일을 확인하는 사례가 몇 번 발생한 경험이 있다”며 “전문 인력 확보 역시 시급하지만, 근무하는 직원들을 대상으로 한 보안 교육과 인식 전환 역시 중요한 부분이다”고 말했다.

한편, 기업의 보안은 기술 유출로도 직결되는 만큼 주의가 필요하다. 중소벤처기업부에 따르면 2015년부터 2022년까지 중소기업의 기술 유출 및 탈취 피해로 인한 피해액은 5000억원 이상으로 추산된다. 피해 기업의 패소율 역시 갈수록 높아지는 추세다. 이들 기업의 시스템 보안이 미비하고, 법적으로도 불리한 제도적 문제가 있다는 지적이다.