입법조사처 '중소기업의 정보보호 강화 방안' 보고서 발간
중기 대상 보안솔루션 지원 예산 기업당 800만원→540만원
[서울=뉴시스]윤정민 기자 = 국회입법조사처가 정부의 중소기업 정보보호(네트워크 보안, 시스템 보안, 정보유출 방지 등) 지원 예산을 늘려야 한다고 지적했다. 최근 5년간 사이버 침해 신고 기업 5곳 중 4곳 이상이 중소기업인 점 등 보안에 취약한 중소기업에 사이버 공격이 집중되고 있는데 중소기업이 정보보호 부문을 투자하는 데 예산·인력 부족 한계가 있기 때문이다.
6일 국회입법조사처가 최근 발간한 '중소기업의 정보보호 강화 방안'에 따르면 2020년과 2021년 당시 중소기업 대상 보안 솔루션 지원 사업 예산은 기업당 800만원이었으나 지난해부터 540만원으로 감액됐다.
보안솔루션 지원 사업은 한국인터넷진흥원(KISA) 지역정보보호센터가 랜섬웨어 등 사이버 공격으로부터 중소기업을 보호하기 위해 편성된 사업이다. 올해의 경우 10인 이상 재직한 정보통신기술(ICT) 중소기업 300곳을 대상으로 보안제품을 구매하는 데 지원하고 있다.
조사처는 "정부 지원 한도가 축소됨에 따라 정보보호 제품 구매 여력이 부족한 기업의 재정 부담이 증가했다"며 "지원 한도를 인상하는 등 정보보호 제품을 구매하려는 중소기업 부담을 줄일 수 있도록 지원을 강화할 필요가 있다"고 밝혔다.
조사처가 중소기업 정보보호 지원을 강조한 이유는 사이버 침해 사고가 중소기업에 집중되기 때문이다. 과학기술정보통신부에 따르면 2018년부터 지난해까지 최근 5년간 기업 규모별 사이버 침해사고 신고 건수 3303건 중 84.4%(2788건)가 중소기업이었다.
디지털 전환이 가속화되면서 사이버 공격이 지속적으로 증가하고 있는데 예산·인력 문제로 정보보호 투자가 상대적으로 어려운 중소기업이 피해를 많이 받았다.
실제로 지난해 과기정통부가 지난해 정보보호 실태를 분석한 결과 250명 이상 기업체 정보보호 정책 보유율은 85.6%인 반면 10~49명 기업체는 30.6%였다. 정보보호 조직 보유율도 10~49명 기업체가 36.1%로 250명 이상 기업체(79.1%) 대비 2배 이상 낮았다. 정보보호 교육 실시율도 250명 이상 기업체는 69.8%인데 10~49명 기업체는 29.1%였다.
조사처는 "재정 지원 확대와 함께 중소기업의 자체적인 정보보호 노력을 끌어낼 수 있도록 인센티브를 부여할 방안을 모색할 필요가 있다"고 말했다.
한편 과기정통부 관계자는 2021년도까지는 기업 인프라에 따라 300만원, 800만원 두 개 유형으로 나눠 지원하고 있었다가 540만원 단일 유형으로 합친 것이라고 해명했다. 이 관계자는 "300만원 유형의 경우 지원금액이 낮아 단순한 솔루션만 사게 되는 부분이 있어 효율성 측면에서 (지금처럼) 문제점을 개선했다"며 예산 삭감은 아니라고 해명했다.
이밖에 조사처는 중소기업 정보보호 강화 방안으로 지역정보보호지원센터 수 증설과 중소기업용 정보보호 인증 체계 도입도 제안했다.
과기정통부와 KISA는 2014년부터 지역 중소기업 정보보호 지원사업 일환으로 지역정보보호지원센터 10곳을 운영하고 있다. 하지만 센터별 관할지역과 지역 중소기업 수를 살펴보면 호남센터가 관할하는 4개의 광역 지자체에는 약 87만8000개의 중소기업이 있는 반면 울산센터가 관할하는 울산시에는 약 13만8000개의 중소기업이 있다.
조사처는 "센터별 관할 범위에 불균형이 있다"며 "사이버 침해 사고에 보다 신속하게 대응해 촘촘한 사이버 안전망을 구축할 수 있도록 센터 수 확대를 고려할 필요가 있다"고 지적했다.
중소기업용 정보보호 인증 체계 필요 이유에 대해서는 중소기업이 현재 운영 중인 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 따는 데 현실적으로 어렵기 때문이라고 말했다.
조사처는 "기업 규모에 따라 인증 항목이나 평가 방법 등을 별도로 구분하지 않고 있어 정보보호 자원이 상대적으로 열악한 중소기업은 시간과 비용 부담 등으로 인증 취득에 어려움이 있다"고 지적했다.
정부는 2021년 정보보호 관리활동 필수 요소만 뽑아 영세·중소기업에 인증 기준을 경량화한 'ISMS 간편 인증' 신설을 추진한 바 있다. 하지만 관련 법률안이 계류 중인 상황이라 도입이 늦어지는 상황이다.
조사처는 "해당 제도를 조속히 도입할 필요가 있으며 관련 법률안이 통과된다면 적극적 홍보로 중소기업이 자발적으로 정보보호 역량을 강화해 정보보호 사각지대를 해소할 수 있도록 해야 한다"고 주장했다.
◎공감언론 뉴시스 [email protected]
6일 국회입법조사처가 최근 발간한 '중소기업의 정보보호 강화 방안'에 따르면 2020년과 2021년 당시 중소기업 대상 보안 솔루션 지원 사업 예산은 기업당 800만원이었으나 지난해부터 540만원으로 감액됐다.
보안솔루션 지원 사업은 한국인터넷진흥원(KISA) 지역정보보호센터가 랜섬웨어 등 사이버 공격으로부터 중소기업을 보호하기 위해 편성된 사업이다. 올해의 경우 10인 이상 재직한 정보통신기술(ICT) 중소기업 300곳을 대상으로 보안제품을 구매하는 데 지원하고 있다.
조사처는 "정부 지원 한도가 축소됨에 따라 정보보호 제품 구매 여력이 부족한 기업의 재정 부담이 증가했다"며 "지원 한도를 인상하는 등 정보보호 제품을 구매하려는 중소기업 부담을 줄일 수 있도록 지원을 강화할 필요가 있다"고 밝혔다.
5년간 사이버 침해 신고 84.4%가 중소기업…정보보호 조직·교육 역량 떨어져
디지털 전환이 가속화되면서 사이버 공격이 지속적으로 증가하고 있는데 예산·인력 문제로 정보보호 투자가 상대적으로 어려운 중소기업이 피해를 많이 받았다.
실제로 지난해 과기정통부가 지난해 정보보호 실태를 분석한 결과 250명 이상 기업체 정보보호 정책 보유율은 85.6%인 반면 10~49명 기업체는 30.6%였다. 정보보호 조직 보유율도 10~49명 기업체가 36.1%로 250명 이상 기업체(79.1%) 대비 2배 이상 낮았다. 정보보호 교육 실시율도 250명 이상 기업체는 69.8%인데 10~49명 기업체는 29.1%였다.
조사처는 "재정 지원 확대와 함께 중소기업의 자체적인 정보보호 노력을 끌어낼 수 있도록 인센티브를 부여할 방안을 모색할 필요가 있다"고 말했다.
한편 과기정통부 관계자는 2021년도까지는 기업 인프라에 따라 300만원, 800만원 두 개 유형으로 나눠 지원하고 있었다가 540만원 단일 유형으로 합친 것이라고 해명했다. 이 관계자는 "300만원 유형의 경우 지원금액이 낮아 단순한 솔루션만 사게 되는 부분이 있어 효율성 측면에서 (지금처럼) 문제점을 개선했다"며 예산 삭감은 아니라고 해명했다.
"現 정보보호 인증 체계, 중소기업 따기 어려워"
과기정통부와 KISA는 2014년부터 지역 중소기업 정보보호 지원사업 일환으로 지역정보보호지원센터 10곳을 운영하고 있다. 하지만 센터별 관할지역과 지역 중소기업 수를 살펴보면 호남센터가 관할하는 4개의 광역 지자체에는 약 87만8000개의 중소기업이 있는 반면 울산센터가 관할하는 울산시에는 약 13만8000개의 중소기업이 있다.
조사처는 "센터별 관할 범위에 불균형이 있다"며 "사이버 침해 사고에 보다 신속하게 대응해 촘촘한 사이버 안전망을 구축할 수 있도록 센터 수 확대를 고려할 필요가 있다"고 지적했다.
중소기업용 정보보호 인증 체계 필요 이유에 대해서는 중소기업이 현재 운영 중인 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 따는 데 현실적으로 어렵기 때문이라고 말했다.
조사처는 "기업 규모에 따라 인증 항목이나 평가 방법 등을 별도로 구분하지 않고 있어 정보보호 자원이 상대적으로 열악한 중소기업은 시간과 비용 부담 등으로 인증 취득에 어려움이 있다"고 지적했다.
정부는 2021년 정보보호 관리활동 필수 요소만 뽑아 영세·중소기업에 인증 기준을 경량화한 'ISMS 간편 인증' 신설을 추진한 바 있다. 하지만 관련 법률안이 계류 중인 상황이라 도입이 늦어지는 상황이다.
조사처는 "해당 제도를 조속히 도입할 필요가 있으며 관련 법률안이 통과된다면 적극적 홍보로 중소기업이 자발적으로 정보보호 역량을 강화해 정보보호 사각지대를 해소할 수 있도록 해야 한다"고 주장했다.
◎공감언론 뉴시스 [email protected]