“중소기업은 소외”…C-TAS, 12년 만에 실효성 논란 커진다

한국인터넷진흥원이 운영하는 사이버 위협정보 분석·공유 시스템 ‘C-TAS’의 도입 12년 만에 참여 기업 수가 기대에 크게 못 미친다는 지적이 제기됐다. 특히 중소기업의 가입률은 극히 저조해, 사이버 침해사고 대응의 최전선에서 실효성을 갖추지 못하는 구조적 한계가 드러나고 있다는 평가다. 업계와 정부 간 정보 공유가 사이버보안 패러다임의 핵심으로 부상하는 상황에서, “C-TAS 제도 보완이 선택이 아닌 과제로 떠올랐다”고 전문가들은 지적한다.

C-TAS는 2012년 시범사업을 거쳐 2014년부터 본격 운영된 국내 대표 사이버 위협정보 공유 플랫폼으로, 실시간 해킹 징후, 악성코드 경로, 침해사고 패턴 등 디지털 위협 정보를 자동 분석·전파한다. 한국인터넷진흥원에 따르면, 2020년 3900만건이었던 공유 건수가 2023년 2억6000만건으로 6배 이상 늘었다. 공유 데이터의 양이 폭증하면서, 위협 탐지 정밀도와 신속한 확산 차단 효과가 이론적으로 기대됐다.

그러나 실제 시스템 활용 현황을 보면 가입 기업은 5000여개에 머물러 전체 산업 규모에 비해 체감 효과가 떨어진다. 특히 전체 C-TAS 등록의 0.03%에 불과한 중소기업은 상대적으로 정보 격차와 보호 사각지대에 놓여 있다. 랜섬웨어 등 첨단 해킹 피해 비중이 77%에 달하지만, 보호 시스템 접근성 자체가 매우 낮다는 의미다. 대기업들도 정보보호 최고책임자 지정 의무가 있음에도 해킹 사고 피해가 잇따르면서 기업 규모를 막론한 참여 유인이 미흡하다는 비판이 나온다.

국내 정보보호 환경의 취약성이 드러난 가운데, 경쟁 국가들은 위협정보 공유를 민간 의무화하고 자동·AI 분석 등 기술 지원까지 법제화하고 있다. 일례로 미국은 사이버 보안 프레임워크 내 CISA를 통해 의무신고 및 실시간 협업 체계를 구축하고, 중소기업 전용 교육·지원 인프라도 마련했다. 유럽연합(EU)의 NIS2 지침 역시 정보공유 플랫폼 참여를 법적으로 요구한다.

한국의 경우 ‘정보통신망법’에 CISO(정보보호 최고책임자) 지정은 의무화됐으나, 위협정보 공유 참여는 사실상 권고 수준에 머물러 있다. 이에 대한 실효성 제고를 위해 가입 지원, 자동화, 참여 인센티브 강화 같은 제도개선이 잇따라 제시되고 있다. 산업계와 보안 전문가들은 “C-TAS 제도의 실효적 안착이 한국형 사이버 방역정책의 분기점이 될 것”이라 진단한다.

산업계는 위협정보 공유 체계의 확대가 실제 현장에 뿌리내릴 수 있을지 예의주시하고 있다. 제도 개선과 함께, 보안 예산 확대 등 산업 구조적 지원이 병행돼야 한다는 목소리가 커지고 있다.