정보보호 예산 줄어드는데 해킹 3배…중소기업 보안망 붕괴 우려

중소기업을 겨냥한 해킹과 랜섬웨어 공격이 빠르게 늘고 있지만 정부의 정보보호 지원 예산은 반대로 급감하고 있어 산업 전체 사이버 안전망이 약화되고 있다는 지적이 나왔다. 중소기업이 대기업과 글로벌 공급망에 깊이 연결된 만큼, 취약한 하위 기업 한 곳이 전체 네트워크를 마비시키는 공급망 공격의 진입점이 될 수 있어 예산과 제도 뒷받침이 시급하다는 분석이다. 업계와 국회 안팎에서는 향후 예산 심의와 관련 법 개정이 국내 디지털 보안 경쟁력의 분수령이 될 것으로 보고 있다.

국회입법조사처는 25일 정보보호 사각지대 해소를 위한 중소기업 보안 역량 강화 방안 보고서를 내고, 최근 3년간 중소기업 대상 사이버 침해사고 증가 추세와 정부 지원 예산의 역주행을 정면으로 짚었다. 보고서에 따르면 중소기업 침해사고 신고 건수는 2021년 518건에서 2024년 1575건으로 3배 이상 늘었다. 2024년 8월 기준으로 이미 1185건이 집계돼 연말에는 통계 수치가 더 커질 것으로 예상된다.

같은 기간 전체 침해사고 신고 가운데 중소기업이 차지하는 비중은 83.5%에 이르렀다. 조사처는 다수의 중소기업이 침해사고 발생 사실을 인지하지 못하거나 신고 절차를 밟지 못하는 현실을 감안할 때, 공식 통계에 잡히지 않은 숨은 피해 규모까지 고려하면 실제 피해는 이보다 훨씬 클 것으로 내다봤다. 특히 제조, 부품, 물류 등 대기업과 하청·협력 구조로 얽혀 있는 업종에서는 한 중소 협력사의 보안 사고가 상위 기업의 생산 차질과 데이터 유출로 직결될 수 있다는 점을 경고했다.

중소기업의 보안 대응 여력은 구조적으로 취약한 상태다. 종사자 250명 이상 기업의 정보보호 정책 보유율은 98.7%에 달하지만, 10명에서 49명 규모 기업은 48.9%에 그친다. 정보보호 전담 조직을 갖춘 중소기업 비율도 26.2% 수준에 머무른다. 대구 지역을 대상으로 한 별도 조사에서는 종사자 100인 미만 기업의 정보보호 예산 편성률이 18.9%에 그친 것으로 나타났다. 인력과 예산 모두 부족해 보안 전담 인력 확보는 물론, 침해사고 대응 체계나 모의훈련 구축도 어려운 구조라는 의미다.

그런데도 정부의 중소기업 정보보호 지원 예산은 줄곧 감액돼 왔다. 대표 사업인 지역 중소기업 정보보호 지원 예산은 2021년 109억5000만 원에서 2024년 58억 원, 2025년 26억3600만 원으로 축소됐다. 2026년 정부 예산안은 13억 원 수준으로 편성돼 2021년 대비 10퍼센트에도 못 미치는 수준이다. 지원 대상 기업 수도 2023년 1500개사에서 2025년 406개사, 2026년 200개사 수준으로 줄어들 전망이다. 업계에서는 보안 컨설팅, 모의 침투 테스트, 보안 솔루션 도입을 묶어 지원하는 핵심 프로그램 규모가 줄어드는 만큼 보안 투자 여력이 없는 영세 기업을 중심으로 방치 구간이 커질 수 있다고 우려한다.

입법조사처는 보고서에서 중소기업 침해사고 신고 건수와 수요 증가 추세에 역행하는 예산 감액 기조가 유지되고 있다고 평가하면서, 2026년 예산안 국회 심의 과정에서 적정 수준의 재정 확대가 필요하다고 밝혔다. 공격자 입장에서는 보안 인력과 예산이 부족한 중소기업이 대기업과 공공기관으로 침투하기 위한 효율적인 우회 경로가 되는 만큼, 중소기업 정보보호는 개별 기업 차원을 넘어 국가 사이버 안보 인프라로 봐야 한다는 문제의식이다.

최근 글로벌 보안 트렌드로 떠오른 제로트러스트 보안 체계에 대한 국내 법제와 재정 지원이 부족한 점도 구조적 약점으로 지목됐다. 제로트러스트는 네트워크 내부를 신뢰 구역으로 전제하지 않고, 사용자와 기기, 애플리케이션 접근을 매번 검증하는 방식의 보안 모델이다. 클라우드 전환, 하이브리드 근무, 사물인터넷 확산으로 네트워크 경계가 모호해진 환경에서 기존 경계형 방화벽 중심 보안을 대체하는 개념으로 평가받는다.

정부는 제로트러스트 보안 모델 구축을 위해 1.0과 2.0 버전의 가이드라인을 발표해 모델 정의와 적용 방향을 제시했다. 그러나 정보통신망법 등 관련 법률에는 제로트러스트 정의와 의무, 정부 지원 근거가 명시돼 있지 않아 정책의 지속성과 강제력이 떨어지는 상황이다. 제로트러스트 관련 지원 예산 역시 2024년 62억 원에서 2026년 45억 원 안으로 줄어드는 추세다. 보고서는 제로트러스트를 중장기 사이버 안보 전략의 핵심 축으로 삼으려면 정보통신망법 개정을 통해 기본 원칙과 정부 지원 근거를 법에 명문화하고, 중소기업에 특화된 도입 지원이나 바우처 제도를 검토할 필요가 있다고 제안했다.

중소기업의 자발적 보안 투자 확대를 뒷받침할 세제 인센티브도 여전히 미흡하다. 현재 국회에는 정보보호 투자 비용에 대한 세액공제 근거를 담은 조세특례제한법 개정안이 계류 중이다. 개정안이 통과될 경우 정보보호 시스템과 설비 투자비, 컨설팅 비용, 사이버 보험 가입비, 전문인력 채용 비용 등에 대한 세액공제가 가능해져 보안 투자 부담을 줄일 수 있을 것으로 예상된다. 입법조사처는 세액공제가 현실화되면 중소기업이 단기 비용으로만 인식하던 보안 투자를 중장기 경영 리스크 관리 수단으로 전환하는 계기가 될 수 있다고 분석했다.

글로벌 차원에서는 공급망 보안과 제로트러스트 전환이 이미 디지털 안보 전략의 핵심 의제로 부상한 상황이다. 미 연방 정부와 유럽 주요국은 공공기관과 주요 인프라 사업자를 대상으로 제로트러스트 전환 로드맵을 제시하고, 클라우드 보안 인증과 공급망 보안 가이드라인을 강화하고 있다. 보고서는 국내 중소기업이 이러한 글로벌 기준에서 벗어난 수준에 머문다면 향후 해외 발주처와의 거래에서 보안 요건을 충족하지 못해 수출과 글로벌 공급망 참여가 제약을 받을 수 있다고 우려했다.

입법조사처는 중소기업이 산업 생태계 전반과 촘촘히 연결돼 있다는 점을 강조하며 정보보호 사각지대 해소를 위한 종합적 보완이 필요하다고 결론지었다. 해킹과 랜섬웨어 공격 고도화에 맞춘 예산 확대와 법제 정비, 세제 지원이 함께 작동하지 않으면, 디지털 전환이 빠를수록 오히려 사이버 리스크가 커질 수 있다는 경고도 나온다. 산업계는 이번 국회 예산 심의와 관련 법안 논의가 중소기업 보안 역량을 끌어올려 실제 시장에 안착시킬 수 있을지 주시하고 있다.