중소기업, 정보보호 예산+전문 인력부족

정보보호 투자, IT투자대비 2%대에 그쳐... 

권 의원 “중기의 정보보호의지 중요...정부지원 적극 활용”

현재 중소기업은 87% 이상이 사내 LAN을 사용하고, 직원의 PC보급률도 100%에 가까워 정보화 수준이 높다. 반면 사이버공격이나 피싱기법 등 인터넷 사기수법이 등장하고 인터넷의 검색기능이나 IP 추적 등으로 개인정보의 침해, 스팸이나 스파이웨어와 같은 침해사고를 방지하는 데는 열악한 환경에 있는 것도 사실이다.

관련 기관 통계를 보면 2004년 해킹, 바이러스 침해로 신고접수건수는 96년에 비해 165배, 스팸메일은 2001년에 비해 100배 증가하는 등  정보화 역기능 또한 증가했다는 것을 알 수 있다. 

중소기업의 정보화 역기능 이유로는 정보보호 예산이나 전문 인력부족 등이 가장 큰 이유라고 할 수 있다. 그로인해 중소기업의 주요 자산과 정보들은 외부 공격에 무방비 상태이며, 정보도용이나 누출에 따른 기업의 경제적 손실이나 개인정보 침해의 우려가 커지고 있다.

2004년 중소기업 정보보호 실태조사 결과에 따르면 국내 중소기업의 정보보호 투자비율은 IT전체 예산 중 2.2~6.1% 수준으로 미국과 프랑스 등 선진국의 8~10%에 대비해 매우 저조한 것으로 나타났다.

국내 중소기업의 정보보호 실태조사 한 결과, 우선 중소기업체 CEO들의 85%는 정보보호의 중요성을 인식하고 있지만 정보보호 정책제정 실시에 대해서는 대기업에 비해 낮았고 정보보호 전담조직 설치 운영업체의 비율도 중소기업과 대기업의 격차가 두드러진다. 또한 정보보호 인력 보유, IT 총지출 대비 정보보호 지출 비율 등 중소기업의 정보보호 수준은 대기업에 비해 낮았다.

또한 기업규모와 관계없이 70% 이상의 기업들이 바이러스 백신을 설치ㆍ운영해 정보보호 활동이 이루어지고 있으나 중소기업의 정보보호 시스템 구축비율은 대기업에 비해 낮았고 사내 시스템에 대한 불법침입에 거의 무방비 상태였다.

한편 해킹 및 바이러스로 인한 피해 중 복구비용이 발생한 피해의 비율은 기업 규모에 반비례했다. 즉, 중소기업의 경우에는 사고발생 빈도가 대기업에 비해 상대적으로 낮으나 이러한 사고에 대한 대응 수준이 낮아 실제 피해를 입는 경우는 대기업에 비해 빈번했다.

국회 과학기술정보통신 위원회 권선택 의원은 “중소기업의 정보보호 지출액은 전체 IT 예산 중 10% 미만으로 연 평균 약 500만원 미만을 지출하고 있다”며 “이는 중소기업이 정보보호 필요성은 인식하고 있으나 정보보호가 매출에 기여하는 가시적인 성과가 부족해 정보보호에 대한 관심과 투자가 저조하기 때문인 것으로 판단된다”고 밝혔다.

또한 권 의원은 “정보보호에 대한 인식을 갖추고 있어도 대부분의 중소기업은 정보보호 솔루션으로 백신 제품이 주종을 이루는 등 초보적인 보안 투자에 머무르고 있어 중소기업 4곳 중 1곳이 해킹피해를 경험했으며 해킹 경유지로 악용되고 있다”고 덧붙였다.

KISA가 지난해 7월 실시한 중소기업 정보보호 현장방문 결과에 따르면 기초적인 정보보호 조치도 취하지 않아 중소기업 서버의 공인인증서, 영업정보 등의 기밀정보에 접근이 가능했고 홈페이지 취약점으로 인해, 이를 경유해 500여개 타사 홈페이지 위변조가 가능한 것으로 확인했다.

반면 일부 기업은 정보보호 투자비용이 저조해 스팸, 외부공격의 탐지 및 대응 등의 능력은 취약하나 사설망 구성을 통해 직접적인 내부망에 대한 접근을 제한한 최소한의 대책은 구현하고 있는 것으로 나타났다.

이러한 현장 진단 결과를 통해 정보보호에 대한 중소기업의 인식제고와 더불어 대응책 수립을 위한 운영체제 제공 보안기능 활용, 공개용 보안도구 사용, 저렴한 보안 서비스 활용 등에 대한 정보제공이 필요하다는 것이 KISA의 설명이다.

KISA와 대한상공회의소, 중소기업정보화경영원 등은 중소기업의 정보보호 수준향상을 위해 다양한 서비스를 제공하고 있다.

◆시스템 취약점 점검 지원 서비스=지난 8월부터 대학생 IT 전문 인력으로 구성된 중소기업 점검지원단을 조직해 정보보호가 필요한 중소기업들을 찾아가 기업에 필요한 정보보호 관련 조치와 교육을 실시해 주고 무료 정보보호 책자와 CD도 제공하고 있다. 

◆정보보호 장비 렌탈 및 융자지원 서비스=고가의 정보보호 제품을 중소기업이 쉽게 활용할 수 있도록 렌탈 서비스를 활성화하고 정보화 촉진기금 설비투자 융자지원을 통해 중소기업의 정보보호 관련 설비 투자 시에 IT 설비 투자 자금을 지원할 예정이다.

◆서버관리자 정보보호 교육지원 서비스=KISA와 대한상공회의소가 공동으로 정보보호 교육을 실시하며 필요시 교육장소 및 강사를 지원하고 있다. 중소기업의 서버관리자들은 KISA의 정보보호기술훈련장에 접속해 관리방어 훈련, 스팸메일 대응훈련, 정보보호 관련지식 습득, 침해사고 예방 및 대응훈련 등의 서비스를 제공받을 수 있다.

권선택 의원은 “중소기업의 정보보호 문제는 어제, 오늘의 일이 아니며 전체 중소기업인의 인식과 관련된 부분으로 단기간에 효과를 볼 수 없다”며 “중소기업이 스스로 정보보호를 실천할 수 있는 환경 조성에 집중해야 한다. 따라서 중소기업이 정보보호에 대한 관심을 가지고 비용 효과적인 방법으로 정보보호 조치를 수행해 자율적인 침해사고 대응능력을 강화할 수 있도록 환경을 조성하는 것이 필요하다”고 강조했다.

또한 그는 “중소기업의 정보보호 지원 대책이 효과를 거두기 위해서는 중소기업의 적극적인 참여가 가장 중요하다”며 “중소기업의 경쟁력은 정보화뿐만 아니라 정보보호가 병행돼야 하고 중소기업들은 이제부터라도 정부의 다양한 지원 정책들을 최대한 활용해 자신의 울타리를 챙기는 전략이 필요한 시점”이라고 덧붙였다.

[박은수 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>