세계 비즈니스 지형이 다양한 첨단 기술을 흡수하며 날로 새로워지는 모습이다. 데이터 중요성이 커지고 인공지능(AI), 클라우드, 사물인터넷(loT) 등 각종 첨단 기술이 사람들의 입에 오르내린다. 5세대(G) 네트워크 시대가 문을 열면서 전 업계가 상호연결성을 보이기도 한다.
이 모든 변화가 사이버보안의 중요성을 키우는 이유다. 기술이 향상되고 보편화되는 만큼 사이버 공격에 따른 피해가 막대할 수 있다. 이를 예방하는 것이 또 다른 업계 과제로 떠올랐다.
문제는 기업 규모와 상관없이 사이버보안 대응 주문은 늘어나는데 이를 대처할 역량은 차이가 있다는 점이다. 대기업이나 중견기업과 달리 중소기업은 보안 예산부터 관련 인력과 경영진 의지까지 다수 요소에서 어려움이 많다는 게 보안업계 평가다. 국내외를 막론하고 중소기업계가 처한 공통적인 문제다.
한국인터넷진흥원(KISA) 자료에 따르면 2014년 2291건이던 사이버 범죄는 2017년 3156건으로 37.8% 증가했다. 사이버 공격이 날로 수위를 높여간다는 증거다.
미국 정보보안 사이트 사이버시큐리티벤처스(CyberSecurity Ventures)가 발간한 보고서에 따르면 사이버 범죄로 인한 세계 피해액은 2021년까지 연간 6조 달러(7170조원)에 이를 전망이다. 2015년 3조 달러(3585조원)의 두 배 수준이다.
이는 중소기업에 특히 위협이 된다고 국내외 보안 관계자들은 우려한다. 사이버보안 업체 사이레론(Cyleron)의 수전 레너 최고경영자(CEO)는 포브스(Forbes)에 "중소기업의 경우 보안 위협으로부터 회사를 보호할 자원이나 전문지식이 부족해 사이버 공격의 주 타깃이 된다"며 "중소기업의 사이버보안 중요성이 가장 커지는 때"라고 진단을 내놨다.
그는 이어 "악성 프로그램 공격 대상자의 58%가 중소기업이다"며 "피해 기업 중 94%가 어음, 송장, 메일 전송 실패 통지 등으로 위장한 악성 프로그램이나 피싱 메일로 피해를 본다"고 덧붙였다.
한국으로 눈을 돌리면 상황은 더 심각해진다. KISA가 내놓은 2017년 기업 규모별 사이버 침해 사고율을 보면 전체 피해기업 중 98%가 중소기업이다. 나머지 중견기업과 대기업이 2%인 것에 비하면 압도적인 결과다. KISA는 이를 두고 "침해 사고 대다수가 중소기업이지만 정보보호 관리 대응은 열악하다"고 문제를 꼬집었다.
한국랜섬웨어침해대응센터도 2019년 상반기 기준 랜섬웨어 업종별 피해 분석 결과 중소기업(43%)과 소상공인(25%)의 피해율이 대기업(1%)보다 월등히 높다는 사실을 밝혔다. 이형택 한국랜섬웨어침해대응센터장은 이를 두고 "사이버보안 역량에서 부익부 빈익빈 현상이 발생한다"며 안타까움을 표하기도 했다.
중소벤처기업부에 따르면 해킹 공격 등으로 인한 중소기업의 기술 유출 피해 금액은 2015년부터 2017년까지 3021억원을 기록했다. 2017년 기준 중소기업의 총 피해 금액은 1022억원으로 건당 평균 13억1000만원에 달했다.
사이버 공격이 발생하면 중소기업의 피해는 예상보다 더 막대할 수 있다. 수전 레너 사이레론 CEO는 "중소기업이 사이버보안에 투자하는 것을 꺼리지만 피해가 발생하면 투자 비용보다 처리 비용이 많을 수 있다"고 경고했다.
중소기업 금융 솔루션 업체 펀데라(Fundera)가 올해 내놓은 보고서를 보면 사이버 공격을 받은 피해 중소기업의 40%는 최소 8시간 정도 시스템 다운을 겪었다. 글로벌 보안 업체 시스코(Cisco)의 연구에서도 피해 중소기업 중 39%는 보안 문제가 생겼을 때 자사 시스템의 절반가량이 악영향을 받았다고 밝혔다.
미국 거래개선협회(BBB)는 "중소기업이 사이버 공격으로 자사 데이터에 영구적인 손상을 입을 경우 3개월 이상 수익을 얻을 수 있는 회사가 35%밖에 되지 않는다"는 분석을 내놓기도 했다.
실제 랜섬웨어로 상당 규모의 보상액을 해커에게 지급한 사례가 있다. 2018년 삼성반도체 협력사 A는 자사 서버 40여 대가 랜섬웨어 공격에 당해 30억원에 이르는 보상액을 해커에게 지급해야만 했다. 해당 공격으로 공장 전체가 마비됐기 때문이다. 이후 강도 높은 보안 감사도 받아 사업에 큰 차질을 빚었다.
또 다른 중소기업 B사 직원은 랜섬웨어피해대응센터 홈페이지에 "처음에는 내 PC만 랜섬웨어에 감염돼 파일이 암호화한 줄 알았다"며 "(하지만) 시간이 갈수록 다른 파일도 암호화가 되더니 곧 업무 자료가 많은 공유 폴더에도 암호화가 발생했다"고 피해 사례를 남겼다. 순식간에 회사 전체로 피해가 커진 경우다.
다른 C사 직원은 "랜섬웨어에 감염됐을 때 백신 프로그램을 믿었지만 이전에 접해보지 못한 새로운 형식의 랜섬웨어여서 백신도 소용이 없었다"며 "회사 공유 폴더뿐 아니라 연결돼 있던 서버마저 감염돼 복구 비용을 지급해야 할지 고민이다"고 고충을 털어놨다. 날로 발전하는 해커의 공격 때문에 백약(백신)이 무효한 상황이다.
중소기업의 사이버보안 취약성을 극복하기 위해서는 경영진의 인식 개선이 가장 시급하다는 목소리가 나온다.
지역 중소기업에 사이버보안 컨설팅을 제공하는 장상수 KISA 지역정보보호총괄센터장은 "실무진이 투자를 요청해도 경영진이 사이버보안 중요성을 낮게 평가하고 단순히 비용으로만 생각한다"며 "회사 경영 여건으로 인력이 부족한 곳도 많지만 그보다는 투자 우선순위에서 사이버보안이 밀려난 경우가 다수다"고 설명했다.
삼성반도체 협력사 A도 랜섬웨어 공격을 받기 전 보안 담당자가 여러 차례 백업(원본 데이터 복사본) 등의 보안 강화를 경영진에 요구했지만 무시당한 경우다. 결국 경영진의 안일한 인식이 30억원이라는 막대한 피해액을 낳았다. 해당 보안 담당자는 이러한 노력을 인정받아 사고 책임을 면했다.
장상수 센터장은 사이버 공격을 당한 중소기업이 피해 사실을 숨기는 경향도 개선돼야 한다고 강조했다. 경영에 피해를 입을까 우려해 피해 규모나 구체적인 범죄 양상을 드러내지 않는 곳이 다수이기 때문이다.
그는 "작년에 피해 중소기업에 제공한 컨설팅 서비스를 합하면 4000건이나 된다"며 "피해를 드러내지 않은 중소기업도 있기에 실제 피해 규모는 더 클 수 있다"고 말했다. 이어 "정부나 공공기관에서 중소기업에 사이버보안을 지원하지만 아직 한계가 있다"는 설명도 더했다.
이형택 한국사이버침해대응센터장도 정부의 소극적인 대응이 보안 사고를 부추긴다는 평가다. 그는 "정보화 시스템이 발전한 미국 등의 선진국에서는 회사가 시스템 구축 시 백업을 필수화하도록 규제한다"면서 "법과 보안 인증 제도 등의 개선을 정부에 요구한 지 오래됐지만 바뀌지 않는다"고 아쉬움을 토로했다.
시스코는 중소기업에 "완벽하지 않더라도 일단 사이버보안 투자를 시작해야 한다"고 조언한다. 사이버보안 위협은 복잡하고 다양한 양상을 띠기에 100% 완벽한 보완책은 애초에 없기 때문이다. 장기적인 관점에서 사이버보안 기술과 전략을 고민하고 발전해나가는 게 중요하다는 설명이다.
이형택 센터장도 "랜섬웨어 공격자가 무서워하는 것은 백신 프로그램이 아닌 회사 내부의 백업 데이터다. 원본 데이터를 무기로 보상액을 요구할 수 없기 때문이다"면서 "보안 사고의 최후 보루가 백업인 만큼 백업 비용에는 투자를 아끼지 말아야 한다"고 강조했다.