"왜 자꾸 털리나 했더니"… 中企 10곳 중 7곳 이상, 보안전담 직원 '0'

임종철 디자이너 /사진=임종철 디자이너

중소기업의 10곳 중 7곳 이상에 정보보호 전담 직원이 없는 것으로 조사됐다. 랜섬웨어 공격 등 기업을 대상으로 한 사이버 침해사고에서 중소기업의 비중이 압도적으로 높음에도 정작 이에 대비하기 위한 시스템이 극히 취약하다는 평가다.

KISA(한국인터넷진흥원)는 경기벤처기업협회와 함께 경기지역 중소·벤처기업의 정보보호 수요 및 실태를 분석한 '2023년 경기지역 중소기업 정보보호 보안실태 조사' 결과를 발표하며 8일 이같이 밝혔다.

이번 조사는 경기지역 중소·벤처기업 550개사를 대상으로 진행됐다. 최근 3년간(2021~23년) 정보보호 보안 솔루션 및 정보보호 예산, 정보보호 피해사례 및 대응, 정보보호 개선 등 3개 분야가 조사대상이었다.

조사 대상 기업의 27.1%(149개사)만 정보보호 전담 직원이 있다고 답변했다. 나머지 73%에 이르는 기업들에서는 정보보호 전담 직원이 없다는 얘기다. 조사 대상 기업 중 매출액 50억원 이하 기업의 경우 전담 직원이 아예 없거나(67%, 232개사) 전담 직원 존재 여부에 대해 잘 모른다는 응답(17%, 59개사) 등이 많았다.

정보보호 예산규모에 대한 질문에 대해서는 '잘 모른다' 또는 '없다'가 64.5%(355개사)에 달했다. 정보보호에 투자하지 않는 이유로는 '구축비용 부담'(31.8%) '보안 전문가 부재'(12.1%) '필요 보안서비스 검색 어려움'(11.6%) '기술 이해 부족'(9.4%) 등 예산과 전문인력 부족 등이 주로 꼽혔다.

KISA는 "지난 3년간 전체 기업의 24.5%(135개사)에 해당하는 기업이 사이버 침해사고를 겪었다"며 랜섬웨어(15.2%, 92건) 악성코드 감염(10.6%, 64건) 해킹(5%, 30건) 정보유출(4.6%, 28건) 등의 피해가 있었다고 했다.

또 "기업들은 정보보호 필요성 및 인식 강화를 위한 정부주도 캠페인, 정보보호 전문인력이나 전문인력을 양성할 수 있는 온오프라인 전문교육, 정보보안 관련 정부 바우처 지원사업 참여, 자금력 부족한 중소기업을 위한 중소기업용 정보보호 솔루션 개발·보급 등이 필요하다고 답했다"고 했다.

조준상 KISA 경기정보보호지원센터장은 ""경기 지역뿐만 아니라 대부분의 지역 중소·벤처 기업들은 정보보호에 대한 인식 및 예산, 전문인력 부족 등으로 어려움을 겪고 있기에 이에 대한 지원이 필요하다"며 "KISA는 본 조사 결과를 반영해 맞춤형 컨설팅 등 실효성 있는 중소·벤처 사업자 지원을 이어 나가겠다"고 밝혔다.

황국상 기자 gshwang@mt.co.kr