[열린마당]취약한 중소기업 보안 실태와 우리의 과제

　인터넷 보안 기술이 나날이 발전하고 있지만 해커들의 공격 역시 하루가 다르게 거세지고 더욱 교묘해지고 있다.

　지난 3월 발표된 시만텍 인터넷 보안 위협 보고서(ISTR)만 보더라도 그 위험성이 얼마나 더 커졌는지 알 수 있다.

　작년 하반기 기업의 기밀 및 개인정보를 훔치는 사이버 범죄는 꾸준히 증가 추세에 있으며, 온라인을 통해 금전적 이익을 취하는 온라인 사기인 피싱도 하루 평균 792만번의 공격이 보고되는 등 갈수록 늘어나고 있다. 기업 및 개인의 시스템 및 데이터 등을 무력화하는 봇·악성코드 등 각종 인터넷상의 위협 역시 대폭 증가했다.

　이렇듯 인터넷 보안 위협이 갈수록 심각해짐에 따라 최근 많은 기업이 보안 시스템 강화에 힘을 쏟고 있다. 체계적인 보안 시스템 구비 및 관리를 위한 투자가 비교적 원활히 이루어지고 있는 분야는 금융권·공공기관과 일부 대기업 등이다. 반면 소규모 기업은 물론이고 중견기업조차도 인터넷 위협에 무방비로 노출돼 있는 곳이 부지기수다.

　이 같은 현실은 통계자료에서도 잘 드러난다. 한국정보보호진흥원에 따르면 작년 중소기업의 95% 이상이 기업 내 시스템 보안 전담 조직을 갖추지 않았으며, 인터넷 침해 사고 예방 및 대응을 위한 방지책이 없는 기업도 70%인 것으로 조사됐다. 또 해킹 경험률이 약 30%에 달하고 바이러스 경험률도 소기업 55.7%, 중기업 30.4%에 이르는 등 국내 중소기업 대부분이 인터넷 보안 침해 사고에 매우 취약한 것으로 보고된 바 있다. 실제 중소기업을 방문해 보면 가장 기본적인 안티바이러스 프로그램조차 설치하지 않고 있는 곳이 허다하다.

　중소기업은 보안에 대한 마인드가 부족했으며 보안업체 역시 중소기업에 대한 관심이 상대적으로 낮았던 것이 사실이다.

　하지만 이제는 중소기업의 정보 보안에 대한 관심과 투자가 필요하다. 보안 투자가 이루어진 대기업은 교묘한 공격에도 방어가 가능하고 공격을 받더라도 피해를 최소화하고 이른 시간에 정상적으로 복구할 수 있지만, 보안체계가 제대로 갖춰져 있지 않은 중소기업은 간단한 공격에도 치명적인 비즈니스 손실을 가져올 수 있기 때문이다.

　특히 현대 비즈니스 세계는 분야 및 기업 규모를 막론하고 협업 체제를 통해 유기적으로 연결돼 있기 때문에 하나의 구성체가 보안 공격에 무너지면 연쇄적으로 다른 업체들까지 영향을 받을 수밖에 없다.

　중소기업의 열악한 보안 시스템은 단순히 개별기업의 노력으로 해결해야 할 사항이 아니라, 중소기업 자체의 개선 노력과 보안 업체의 시장 확대를 위한 노력, 정부의 지원 등이 함께 이뤄져야 하는 문제다.

　효율적인 보안체계를 갖추기 위해서는 우선 중소기업 자체적으로 먼저 정보 보안의 중요성을 인식해야 한다. 인터넷 보안은 단순한 비용 지출이라기보다 기업의 정보 자산과 가치를 지키기 위한 것이라는 인식 하에 보안 시스템을 구축하기 위해 서둘러 투자해야 한다.

　보안업체도 중소기업의 보안 환경에 최적화된 솔루션을 다양하게 개발해 중소기업이 합리적으로 사용할 수 있는 방안을 제시하면서 보안 의식을 고취하려는 노력을 해야 한다. 이와 더불어 정부 차원에서 중소기업의 열악한 보안체계를 개선해줄 제도적인 지원이 뒷받침된다면, 증가하는 사이버 범죄와 정보 유출 등의 인터넷 보안 위협으로 인한 피해는 줄어들 것이다.

　성공적인 보안 시스템 구축은 보안이 성공적인 비즈니스에 얼마나 중요한 투자인지 깨닫는 것에서 시작된다. 앞서 밝힌 바와 같이 인터넷을 통한 위협은 갈수록 더욱 커지고 교묘해지고 있다. 단순히 PC 시스템을 무력화하는 수준이 아니라 정상적인 비즈니스 활동을 불가능하게 할 수 있으며, 개별 기업의 신뢰도에 회복하기 힘든 손상을 주기도 한다. 성공적인 비즈니스를 위한 선택이 아닌, 기업 생존전략 차원에서 보안 투자를 강화해야 할 것이다.

◆윤문석 시만텍코리아 사장 yun_mun@symantec.com