'옆 동네 불났대, 큰일이네' 취급…당장 직원 월급 급급하니 '차일피일'[은폐⑧]

은폐_해킹 당해도 숨는 기업들

<3부. 덮치면 끝장. 알면서도 왜>
[2]공짜 보안솔루션도 몰라서 못 쓴다

"직원 월급, 회사 빚 걱정에 보안은 뒷순위"
중소기업에 랜섬웨어 예방은 '치매보험'

정부가 보안서비스 무료로 지원해도
이용률 '소수점'…예산은 해마다 깎여

보안 첫걸음으로 '사이버 모의훈련' 추천
훈련 기반 맞춤형 보안기능 지원

챗GPT 제작

'1위 매출 부진, 2위 원자재가 인상, 3위 인건비 상승.'

중소벤처기업부가 실시한 '2025년 5월 경기전망조사'에서 회사 대표들이 꼽은 경영상 어려운 점을 보면 사이버보안에 대한 인식이 얼마나 희박한지를 알 수 있다. '보안상품 가격 부담'이나 '보안시스템 부재' 같은 건 언급조차 되지 않았다. 지난해 랜섬웨어 공격을 겪은 중소 제조기업 대표는 "당하기 전까지는 해킹 말고도 우리가 망할 이유가 10가지는 더 있다고 생각했다"며 "'급여를 못 주면, 차입금을 못 갚으면' 같은 문제가 당장 눈앞에 있으니 보안투자는 자꾸 뒷순위로 밀렸다"고 했다.

정보보안업체 지란지교소프트의 박승애 대표는 "중소·중견 기업들은 랜섬웨어 예방을 마치 치매보험처럼 인식하고 있다"며 "보안 시스템을 도입하려면 투자액만 수천만 원이 들다 보니 비용 부담을 이유로 실행에 옮기지 않는 것"이라고 했다. 그는 "랜섬웨어는 실제로 당해보지 않고선 나에게 일어나지 않을 것 같은 사고"라며 "다른 회사가 랜섬웨어에 당했다는 소식을 들어도 '옆 동네 불났대, 큰일이네' 정도로 받아들인다"고 덧붙였다.

무료 보안솔루션, 중소기업 0.004%만 썼다

큰돈을 들이지 않고도 기본적인 보안 체계를 갖출 수 있는 방법은 있다. 과학기술정보통신부 산하 한국인터넷진흥원(KISA)은 중소기업을 상대로 무료 보안솔루션을 지원한다. 그러나 이마저도 모르는 기업들이 많아 이용률이 높지 않다. 일례로 회사 서버를 비용 부담 없이 점검해 주는 '내 서버 돌보미'는 지난해 352개사만 신청했다. 이는 804만개(2024 중소기업 기본통계·2022년 기준) 중소기업 가운데 0.004%에 해당하는 수치다. 이 서비스를 이용하면 암호 강도·침해 흔적·중대 취약점 존재 여부 등을 원격으로 점검받은 뒤 자가 진단 도구까지 받을 수 있지만 이를 경험한 기업은 거의 없다.

1년에 50만원만 내면 쓸 수 있는 '클라우드 기반 보안서비스(SECaaS)' 역시 전체 중소기업의 약 0.007%(607개사)만 신청했다. 이 서비스는 인력과 장비 없이도 방화벽·악성코드 탐지·디도스(DDoS·분산서비스거부) 공격 방어 같은 보안기능을 사용할 수 있는 시스템이다. 박진완 KISA 중소기업정보보호팀장은 "최고경영자(CEO)의 보안강화 의지가 있는 소수 회사만 이런 서비스의 존재를 인지하고 적극적으로 신청하는 실정"이라고 했다.

박진완 한국인터넷진흥원(KISA) 중소기업정보보호팀장이 지난 22일 서울 가락동 KISA 서울청사에서 아시아경제와 인터뷰를 하고 있다. 윤동주 기자

홍보는 뒷전…보안예산은 '반의 반토막'

기획재정부는 오히려 '이용률이 낮다'는 이유로 해마다 중소기업 보안 예산을 깎고 있다. SECaaS 관련 예산은 2023년 100억원에 달했지만 지난해 예산은 40% 감소한 58억원에 그쳤다. 올해는 지난해보다 절반 넘게 줄어든 23억원까지 깎였다. 내 서버 돌보미의 경우 예산상 한계로 지난해와 올해 모두 선착순 350곳까지만 서비스를 받을 수 있다. 이원태 전 KISA 원장은 "이렇게 예산을 큰 폭으로 삭감하는 건 중소기업 보안을 포기하는 것과 다름없다"고 지적했다.

예산이 부족하다 보니 관련 사업 규모는 축소되고 기업들은 서비스를 이용할 수 없는 악순환이 굳어졌다. 박 팀장은 "보안 분야는 정부 도움을 받을 길이 있는데도 홍보가 안 된 상태고 기업들은 아예 모르니까 신청을 못 하는 것"이라며 "특히 대기업 협력사들은 전산망을 '타고 타고' 들어가는 방식으로 대기업 본사까지 공격할 수 있어서 보안에 더 관심을 가져야 한다"고 당부했다.

KISA는 중소기업들이 '사이버 모의훈련'부터 참여해 보라고 권장한다. 해킹메일, 디도스 공격, 모의침투 같은 실전형 사이버테러를 경험할 수 있어서다. 대기업을 포함한 모든 기업을 대상으로 한 정기훈련은 1년에 상·하반기에 한번씩 약 10일간 진행한다. 중소기업은 1년 내내 이어지는 상시훈련에 참여할 수 있다. 박 팀장은 "올해부터 사이버 모의훈련을 받은 기업들을 대상으로 취약점을 보완하는 보안솔루션을 추천하고 있다"며 "예를 들어 해킹메일에 당한 사람이 있으면 '해킹진단도구'를, 디도스 공격에 서버가 다운되면 '사이버대피소'를 연계하는 식"이라고 했다.

편집자주현실 세계에서 인질극이 벌어지면 누군가 신고를 하기 마련이다. 당한 사람이 직접 하든 주변에서 대신 하든 빨리 경찰에 알리는 게 급선무다. 그런데 랜섬웨어로 인해 벌어지는 사이버 인질극은 정반대다. 피해기업은 돈과 시간을 해커에게 몽땅 빼앗기고도 철저하게 숨기 바쁘다. 지난 10년간 총 2만건이 넘는 랜섬웨어 공격에 대응해 온 이형택 한국랜섬웨어침해대응센터장은 "SK텔레콤처럼 해킹을 당하면 신고하는 기업은 극히 드물다고 봐야 한다. 피해를 입고도 외부에 절대 알리지 않는 기업이 10곳 중 9곳은 된다"며 "해커는 돈만 챙기고 떠나는 구조가 반복되고 있다"고 했다.

전영주 기자 ange@asiae.co.kr
박유진 기자 genie@asiae.co.kr
심나영 기자 sny@asiae.co.kr