관련 통계자료 다운로드 중소기업의 정보보호 지출액
중소기업의 71%가 정보보호의 필요성은 인식하지만 높은 비용 때문에 투자를 망설이고 있는 것으로 나타났다.
국내 중소기업의 정보보호 투자비율은 IT 전체 예산 중 2.2∼6.1% 수준으로 연평균 500만원 미만을 지출하는 것으로 드러났다. 미국과 프랑스 등 선진국이 8∼10%임을 고려할 때 매우 저조한 수치다. 특히 대부분의 중소기업은 정보보호 솔루션으로 안티바이러스 솔루션만을 사용하는 등 아주 초보적인 보안 투자에 머무르고 있어 회사의 중요 자산을 보호하기 위한 대책 마련이 시급하다.
◇정보보호 실태=한국정보보호진흥원(원장 이홍섭)이 1100개 중소기업을 대상으로 ‘중소기업 정보보호 현황’을 조사한 결과 해킹 피해경험은 소기업이 24.1%, 중기업이 27.5%에 이르렀다. 이들 중소기업 중에는 해킹 피해에 대해 인지하지 못하는 기업도 상당수 있어 피해 규모는 더욱 클 것으로 예상된다. 중소기업은 대부분 네트워크 보안성 취약으로 인해 기밀 정보를 유출당한 것은 물론이고 제3의 기관을 공격하는 경유지로 악용됐다. 또 공인IP를 사용하고 있는 PC에 공유폴더가 존재하는 보안 관리 허점 때문에 게임 소스코드 등 회사의 중요 자산을 해킹당한 사례도 있다.
중소기업들은 비싼 정보보호 투자에 대한 부담감으로 기본적인 PC보호 솔루션인 안티바이러스 제품에만 의존해 소기업의 71%, 중기업의 82%가 백신을 사용하고 있다. 하지만 네트워크의 기본적인 정보보호를 책임지는 필수 솔루션인 방화벽의 경우 소기업은 26%, 중기업은 56%만이 사용하고 있다. 또 방화벽 뒤에 설치돼 이상 징후를 파악하는 침입탐지시스템(IDS)은 소기업 6%, 중기업은 14%에 불과했다. 자체적으로 정보보호 전담 인력을 보유한 기업은 소기업이 5%에 지나지 않았으며 중기업은 13%에 머물렀다.
◇비용 부담이 가장 큰 걸림돌=이렇게 중소기업의 정보보호가 미약한 것은 정보보호시스템 구축에 대한 비용 부담이 가장 큰 원인으로 조사됐다. 또 정보보호 전문지식, 침해사고 정보, 정보보호 교육 등의 부족이 뒤를 이었다.
5∼49인 규모 기업의 정보보호 투자 저조 사유를 조사한 결과 고비용(48.2%), 현재수준에서 충분(37.2%), 무엇을 도입해야 하는지 모름(24.8%), 침해사고가 발생해도 피해가 없음(24.1%), 관리가 어려움(21.2%) 등의 순으로 나타났다. 50∼99인 규모 기업은 고비용(44.45%), 관리가 어려움(33.3%) 등을 꼽았고 100∼299인 사업장 역시 고비용(39.1%)을 최대 걸림돌로 지적했다.
◇해결책은 없나=KISA는 침해사고가 발생한 중소기업 진단을 통해 △저비용 IP공유기 활용 등을 통한 사설 IP 활용 △윈도에 포함된 개인방화벽 활용과 공유폴더 해제 △공개용 보안툴을 이용한 보안체계 구축 및 활용 △저렴한 통합보안서비스 활용 △웹서버 취약성 정기점검 등을 저렴한 가격으로 정보보호 수준을 올릴 수 있는 방안으로 제시했다.
이재일 KISA 인프라보호단장은 “정보보호제품 가격은 대당 200만원에서 3억600만원에 달해 중소기업의 연평균 보안 투자비용인 80만∼1500만원과 비교해 매우 높다”며 “저렴하고 관리가 용이한 통합 정보보호서비스 상품을 개발하면 중소기업의 정보보호를 강화하는 데 일조할 것”이라고 말했다.
김인순기자@전자신문, insoon@