매출 50억 이하 중소·벤처 84% “정보보호 담당 직원? 없거나 몰라”

KISA·경기벤처기업협회 공동 조사
인력·예산 없고, 모르겠는 악순환 풍경

한국인터넷진흥원(KISA)이 경기벤처기업협회와 함께 경기지역의 중소·벤처 기업 550곳을 조사해 ‘2023년 경기지역 중소기업 정보보호 보안실태 조사’ 결과를 8일 발표했다.

매출액 50억원 이하의 중소·벤처기업 10곳 중 8곳 이상이 정보보호 담당직원이 누구냐는 질문에 “없거나 모른다”고 응답한 것으로 드러났다. 정보보호 예산 현황조차 파악하지 못하는 기업도 전체의 절반을 넘었다.

한국인터넷진흥원(KISA)이 경기벤처기업협회와 함께 경기지역 중소·벤처 기업 550곳을 조사해 ‘2023년 경기지역 중소기업 정보보호 보안실태 조사’ 결과를 8일 발표했다. 조사 분석 보고서에는 인력도 예산도 없이 사이버 침해 사고에 무방비 상태로 노출되어있는 중소기업의 실태가 고스란히 나타났다.

올해 조사의 경우 550개 중소·벤처기업 중 종업원 수 50인 이하(66.4%), 매출액 50억 원 이하(62.9%)의 소규모 사업체가 과반수 이상이었다. 전체 기업 중 정보보호 업무를 전담하는 직원이 있다고 응답한 기업은 27.1%(149개)에 불과했다. 매출액 50억 원 이하 기업의 경우에는 전담직원이 없거나(67%, 232개), 잘 모르겠다(17%, 59개)고 응답해 84%(291개)의 기업이 정보보호 업무 자체를 제대로 하고있지 않은 것으로 드러났다.

기업별 정보보호 예산 규모 현황도 “잘 모르거나 없다”고 응답한 기업이 전체의 64.5%(355개)에 달했다. 정보보호에 투자하지 않는 이유는 구축비용 부담(31.8%), 보안전문가 부재(12.1%), 필요 보안서비스 검색의 어려움(11.6%), 기술 이해 부족(9.4%) 등을 꼽았다. 잘 몰라 전문 인력과 예산을 확보하지 못하고, 또 이에 대해 잘 모르는 상황이 반복될 수 있는 악순환의 모습이다.

또 지난 3년 동안 전체 기업의 24.5%(135개)가 사이버 침해사고를 겪었다고 응답했다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤 이를 해결해주겠다며 금전을 요구하는 랜섬웨어(15.2%, 92건)에 당했다는 응답이 가장 많았다. 악성코드(10.6%, 64건), 해킹(5%, 30건), 정보유출(4.6%, 28건) 등이 그 뒤를 이었다. 정보보호 인력이나 예산이 없다보니 사고를 당한 사실조차 파악하지 못하고 있을 가능성도 있다.

더 큰 문제는 중소기업의 보안 문제가 대기업 보안 문제로 확대될 수 있다는 점이다. 대기업으로 들어간 개인정보가 계약 관계에 따라 중소기업으로 흐를 수 있는데, 해커들이 이렇게 보안이 취약한 길목을 공격해 개인정보를 탈취할 수 있기 때문이다. 조준상 키사 경기정보보호지원센터장은 “중소·벤처 기업들은 정보보호에 대한 인식 및 예산, 전문인력 부족 등으로 어려움을 겪고 있기에 이에 대한 지원이 필요하다”고 밝혔다.

임지선 기자 sun21@hani.co.kr