[기자수첩]해커 공격에 '예외'는 없다

“지난해 195개 중소기업을 선정해 정보보호 지원 사업을 진행하려 했지만 104개 기업이 중도에 포기, 지원을 완료하지 못했습니다.”

정부 관계자는 중소기업 보안 역량 강화의 어려움을 토로했다. 한국인터넷진흥원(KISA)은 지난해 지역센터를 만들고 중소기업 보안 강화 프로젝트를 시작했다. 지난해 195개 기업을 지원하기 위해 20억원을 투입했다. 기업별로 전사 차원의 종합 컨설팅에 700만원을 지원한 후 보안 솔루션 도입에는 1대1 매칭 방식으로 최대 300만원을 추가하는 방식이다.

당연히 모든 기업이 반길 것으로 생각했다. 막상 뚜껑을 열자 현실은 달랐다. 컨설팅·솔루션 도입 지원에도 비용 문제, 최고경영자(CEO) 거부, 담당자 이직 등 각종 사유가 더해져 절반이 중도 포기했다.

중소기업 보안 현실은 심각하다. 지난해 웹호스팅 기업 아이웹의 랜섬웨어 감염은 기본인 보안 프로그램도 없었을 뿐만 아니라 백업이 미흡했다. 언론과 공공기관 등에서 웹호스팅 기업을 노린 사이버 공격의 심각성을 수차례 경고했음에도 달라진 것은 없었다. 지방에 위치한 A 조선기자재, B 선박엔지니어링 업체도 업무 담당자의 메일 해킹이나 PC 해킹 등으로 내부 자료가 그대로 유출됐다.

실제로 사이버 침해 사고의 기업 규모별 현황에 따르면 사고 98%는 중소기업에 집중됐다. 보안 기본 조치 등도 하지 않는 중소기업은 해커의 먹잇감이다. 300만원이 아까워서 보안 지원을 거부할 처지가 아니다.

결국 보안을 대하는 사람이 바뀌지 않는 한 아무리 좋은 솔루션, 대책이 나와도 변화를 기대하기 어렵다. 정보보호책임자를 지정하고, CEO가 나서서 비용이 아니라 필수 투자라고 인식해야 변화를 기대할 수 있다.

해커는 돈이 목적이다. 결코 어려운 길을 가지 않는다. 보안이 가장 취약하고 약한 상대에게 무자비한 공격으로 경제 이득을 취한다. 중소기업이라고 예외는 아니다. 단 몇 시간 만에 회사 자산이 모두 인질로 잡혀서 돈을 요구하는 사건이 언제 닥칠지 모른다.

하루에도 변종 악성코드가 수십만 개 쏟아지는 이때 보안은 선택 아닌 필수다. 모든 사고에 예외가 없듯이 사이버 사고도 마찬가지다.

정영일기자 jung01@etnews.com