1. 정보보호 사각 지대, 중소기업

 

지금은 4차 산업혁명 시대가 현실화되고 사람과 사물, 산업이 스마트하게 연결되는 지능정보사회로의 이전을 촉진하고 있다. 그러나 4차 산업혁명과 미래인터넷 사회를 바라보는 시선에는 기대와 우려가 함께 공존하는 것이 사실이다. 초연결사회에서는 어느 한 곳, 어느 한 사람의 실수만으로도 전체의 보안이 취약해져 보안 위협이 증폭된다.

 

통계에 따르면 우리나라 기업 중 99.2%가 중소기업이고 이 중 78%가 지역에 있는 현실에서 많은 중소기업이 전문인력 부족(77.9%), 예산 부족(74.0%) 등을 호소하고 있고, 불행히도 국내 사이버위협의 97%가 중소기업을 대상으로 하는 것으로 파악된다. 이러한 중소기업에서는 경영여건의 어려움으로 정부의 정보보호 제품 및 서비스 구매 지원 등 재정 및 세제 지원확대를 요구하고 있다. 이렇게 중소기업의 정보보호 역량이 너무나 부족한 것이 현실이다.

 

지금 이 순간에도 사이버 공간은 취약점을 이용하여 집요하고 교묘하게 우리 중소기업들을 사이버 공격하고 있을 것을 생각하면 중소기업의 사이버 안전망 구축은 더는 늦출 수 없다는 것이다.

 

전 세계적으로 정보보호의 중요성이 대두하면서 기업과 기관들은 점차 보안 수위를 높여나가는 추세다. 그러나 이러한 흐름은 영세한 중소기업들엔 먼 나라 이야기다. 최소한의 안전장치마저 하지 않은 중소기업들도 부지기수이며, 이들은 정보보호의 사각지대에 고스란히 노출되고 있다.

 

이 글에서는 중소기업의 정보보호 실태와 국내외 중소기업에 대한 정보보호 지원 정책을 파악해보고 개선방안을 검토해보고자 한다.

 

2. 위험한 중소기업 정보보호 실태

 

지능정보사회, 초연결 사회가 가져다주는 기회와 위협에 잘 대비하고, 인간과 사회 모두에게 다양한 기회와 긍정적 영향을 주는 장으로 삼기 위해서는 무엇보다 먼저 정보보호가 확보되어야 한다. 정보보호는 4차산업 혁명 시대, 초연결 사회를 지탱하는 기둥이자 지능정보사회의 지속을 보장하는 주춧돌과 같기 때문이다. 정보보호가 확보되지 않은 지능정보사회는 상상누각과 같아 지속 가능하지 않다.

 

그러나 현실적으로 중소기업의 경우에는 정보보호를 논하기에는 부족한 점이 많다. 인력과 자금 모두가 부족한 상황에서 정보보호만을 전담으로 맡는 조직 또는 담당자를 두거나 기술적 조치방안을 마련하고 있는 곳은 그리 많지 않은 것으로 나타났기 때문이다.

 

과학기술정보통신부(한국인터넷진흥원)의 2018년 기업 정보보호 실태조사 결과에 따르면 정보보호 중요성에 대한 인식은 증가(2.8%↑)했으나, 예산 수립 및 전담 등은 소폭 감소했다. 정보보호(개인정보보호) 예산을 보유하고 있는 사업체는 36.2%(전년 대비 11.9%p↓)이며, IT 예산 중 5% 이상 예산 편성 사업체 1.7%(전년 대비 0.5%↓)로 조사됐다.

 

또한, 침해사고 예방을 위한 시스템 및 네트워크 보안 점검률은 90%로 전년 대비 25.3%p 증가, 보안패치 적용, 백업 체계 등을 실시하고 있었다. 점검 주기는 비정기적(67.1%), 정기적(27.1%)으로 나타났으며, 시스템 및 네트워크 유형별 분석 결과, 취약점 점검률 PC(99.0%) > 물리보안(출입통제, CCTV 등)(91.3%) > 서버 운영체제(OS)(54.0%) 순으로 나타났다.

 

침해사고 보안점검 실시율(%) 및 시스템 및 네트워크 유형별 취약점 점검율(복수응답, %)
[출처: 과학기술정보통신부, 2018년 기업 정보보호 실태조사]

3. 국내 중소기업 정보보호 지원 주요 정책

 

위와 같이 정보보호 실태조사 결과 많은 중소기업이 정보보호를 위한 기술적 조치를 마련하지 않았거나, 보안 규정이 있음에도 이를 철저히 지키지 못하고 있다. 이는 법적인 문제도 있겠지만, 중소기업들의 정보보호 인식이 대기업보다 저조하다는 것을 의미한다. 중소기업의 중요정보나 기술이 유출되면, 그것은 곧 그 기업의 수익과도 직결될 정도로 치명적이다. 문제는 실제로 침해사고나 악성 코드 감염, 정보가 유출됐는지도 모른 채 손해를 입을 수 있다는 것이다.

 

국가 경제의 큰 축을 담당하고 있는 중소기업들이 안전한 환경에서 비즈니스를 할 수 없다면, 요즘처럼 어려운 시기에 경기가 회복되기 어렵다는 우려의 목소리도 나오고 있다. 중소기업은 동원할 수 있는 자원의 한계로 인하여 자력으로 필요한 정보보호 수준을 유지하는 것이 매우 어렵다. 특히 영세기업의 경우에는 정보기술을 활용한 경영 지원 업무와 이로 인한 침해 위협에 대한 대응 업무라는 상충된 업무를 담당이 없거나 한 사람이 동시 수행하며, 침해사고 위협에 취약할 수밖에 없다. 이러한 이유로 중소기업 정보보호 문제는 적극적으로 정부의 지원이 필요하다.

 

과학기술정보통신부 및 한국인터넷진흥원(KISA: Korea Internet & Security Agency, 이하 KISA)에서는 2014년부터 본격적으로 지역 중소기업의 정보보호 수준 제고 및 침해사고 예방・대응 역량 강화, 정보보호 산업 활성화를 위하여 ‘지역 중소기업 정보보호 지원’ 사업을 추진하고 있다. 이를 위하여 지자체 및 지역 관계기관과 협력 모델로서 지역 중소기업의 정보보호 활동을 지원하기 위하여 「지역정보보호지원센터」를 구축·운영 중이다. 주요 사업 내용으로는 다음과 같다.

 

① 정보보호 맞춤형 현장컨설팅, 웹 취약점 점검 및 보호조치 지원, 민감 정보보호 조치 지원

② 둘째 지역 중소기업 재직자 중심의 정보보호 전문교육, 정보보호 세미나 개최, 지역정보보호
컨퍼런스 개최

③ 셋째 지역 전략산업에 대한 설계단계부터 보안을 고려하도록 보안 테스트베드 운영

④ 중소기업 대상 정보보호 맞춤형 종합컨설팅 및 보안솔루션(서비스) 도입 지원

⑤ 지역 유관기관과의 협력 네트워크 구축을 통한 상생 협력 방안 마련 등의 사업을 추진하고 있다.

 

또한, 중소벤처기업부와 대・중소기업・농어업협력재단에서 시행하는 ‘중소기업 기술보호 지원사업’은 중소기업들의 기술보호 기반과 역량을 강화해 안정적인 기술개발 여건을 조성하자는 취지로 시행되며, 기업의 기술경쟁력 제고 및 관련 산업발전에 기여를 목적으로 하고 있다. 주요 내용으로는 ‘기술보호 전문가 상담·자문’, ‘중소기업 기술분쟁 조정·중재’ 제도, ‘기술자료 임치제도’, ‘기술유출방지시스템구축 지원’ 사업 등이 있다.

 

이처럼 국내 중소기업에 대한 정보보호 정책 지원 사업은 과학기술정보통신부 및 한국인터넷진흥원에서 수행하는 ‘지역 중소기업 정보보호 역량 강화 지원’ 사업과 중소벤처기업부와 대・중소기업・농어업협력재단에서 시행하는 ‘중소기업 기술보호 지원사업’이 대표적인 사업이라 할 수 있으나 전체 중소기업의 수를 고려한다면 그 대상은 미흡한 실정이다.

 

4. 해외 주요국 중소기업 정보보호 정책

 

미국, 일본, EU 등 해외 주요국은 중소기업 대상 정보보호 관련 원칙이나 가이드라인 개발보급, 정보보호 관련 정보 제공, 컨설팅 및 교육 등 중소기업의 정보보호를 위해 직·간접적인 지원 정책을 시행하고 있다.

구분	중소기업 관련 부처의 중소기업 지원 정책
	한국	일본	미국	영국	독일	유럽연합
주요 기관	중소벤처 기업부	중소 기업청	중소기업청 (SBA)	기업혁신기술부 (BEIS)	연방경제기술부 (BMWi)	유럽집행위원회 (EC)
정보보호 대상지원	정보보호가 일부 포함된 기술보호 지원	×	보안 가이드라인 제공	×	×	×
특징	기술 유출 방지 중점 및 포괄적 보안 관점	IT 도입 지원을 별도 진행	비즈니스 컨설팅 수행	창업 중심의 중소기업 지원	중소기업 디지털화 추진	파산 면제 및 방지 정책 추진
구분	ICT 관련 부처의 중소기업 지원 정책
	한국	일본	미국	영국	독일	유럽연합
주요 기관	과학기술 정보통신부 한국인터넷 진흥원	경제산업성 (ME) 정보기술진흥원 (IPA)	국토안보부 (DHS) 연방 통신 위원회 (FCC)	정보통신부 (GCHQ)	연방정보기술 보안청 (BSI)	네트워크 및 정보보호 유럽 연합 기구 (ENISA)
중소기업 대상 지원	○	○	○	○	중소기업 전용 지원 없음	중소기업 전용 지원 없음
특징	지역별 지원센터 운영	중소기업 자기 보안 선언	중소기업용 보안가이드라인 제공	–	신규 정보 보호 기술에 대한 심층조사	클라우드 보안 관련 지원

 

국내외 중소기업 및 정보통신 주무부처 지원정책 특징
[출처: 중소기업의 정보보호 대응역량 강화 방안 연구(2019), 김태성]

4.1 EU(European Union)

유럽집행위원회는 사이버 보안의 중요성을 인식하고, EU 연구 및 혁신 프로그램인 “Horizon 2020”의 일환으로 중소기업의 사이버 보안 강화 관련 프로그램을 개발 추진하고 있다. Horizon 2020은 EU 최대 규모의 연구 기금 지원 프로그램으로 중소기업ㆍ영세기업이 개인정보보호, 보안 위협을 능동적으로 모니터링하고 예측, 접근하기 위한 효율적인 솔루션 개발ㆍ연구하는 프로그램이다.

 

또한 EU의 사이버 보안법(Cybersecurity Act) 발효로 ENISA(European Union Agency for Cybersecurity)가 EU 내 사이버 보안에 대한 권장사항 제공 및 정책을 개발하고 구현ㆍ지원하고 있으며, 특히 기업의 사이버 보안 문화 구축을 위한 사이버 보안 교육 시행, 기업 관련 보안 지침 및 권장사항, 모범사례 등을 연구하고 중소기업 간 협력 네트워크를 지원하고 있다.

 

4.2 독일

연방정보기술보안청(연방내무부 산하기관)을 중심으로 중소기업 정보보호 가이드라인을 개발하여 보급하고 있으며, 중소기업ㆍ공공기관의 IT 관리자를 대상으로 가장 중요한 IT 보안 조치를 간단하고 이해하기 쉽게 제공하고 있다. 또한, 연방경제기술부가 중소기업의 정보보호 기술 개발 지원 및 중소기업 비밀유출 대응 정책을 추진하고 있으며 각 주 정부는 중소기업이 정보보호 관련 가이드라인을 준수하도록 안내, 교육 및 권고하고 있다.

 

4.3 미국

미국은 NIST와 SBA(Small Business Administration, 중소기업청)를 중심으로 중소기업의 사이버 보안 역량 강화를 위한 법 제정(NIST Small Business Cybersecurity Act, 2018)을 통해 중소기업의 사이버 자원 지원 근거를 마련한 바 있다. 중소기업에 대한 사이버 보안 예산 지원, 자원을 지원할 수 있는 근거 법률로 정보보호 지침, 도구, 모범사례, 표준, 방법론 등을 제공하고 있다.

중소기업청 산하기관인 SBDC(Small Business Development Center)가 중소기업에 대해 사이버 보안 관련 정보와 교육, 컨설팅을 지원하고 있으며, 소규모기업에 대한 사이버 보안 교육 지원으로 중소규모 기업이 사이버 공격으로부터 시스템을 보호할 수 있도록 돕는 것을 목적으로 하고 있다.

 

또한, 중소기업청 사이버인식법(Small business Administration Cyber Awareness Act)을 제정하여 중소기업청의 정보기술시스템을 사이버범죄로부터 보호하기 위한 목적으로 IT 현황에 대한 평가, 중국산 IT 장비의 사용 현황 등을 작성한 보고서를 매년 제출해야 할 의무를 부과하고 있다.

 

중소기업 개발 센터 사이버 훈련법(Small Business Development Center Cyber Training Act)을 통해 SBDC의 상담사는 중소기업의 사이버공격 방지ㆍ대응을 지원하기 위해 사이버 보안전문자격을 획득하여야 하며 중소기업에 특화된 무료 사이버 훈련을 제공하기 위한 사이버 상담 자격 인증 프로그램을 수립해야 한다.

 

4.4. 영국

영국은 중소기업 정보보호 수준 제고를 위해 사이버 에센셜 스킴(CES:Cyber Essentials Scheme)인 정보보호 인증 제도를 도입 운영하고 있다. CES는 사이버 보안 수준을 평가하는 인증 제도로 영국 정보 통신부(GCHQ)가 발표한 사이버 보안 10단계를 기반으로 사이버 보안 수준을 평가하여 일정 수준 이상인 시업에 CES를 부여한다.

 

또한, 국가사이버 보안센터(NCSC)는 공공기관 뿐만 아니라 민간기업의 중소기업, 자영업자 등이 사이버 보안을 이해하고 활용할 수 있도록 사이버 공격에 대한 자체 시스템 보호 지침, 중소기업 사이버 보안 안내서, 사이버 보안 관련 소규모 비즈니스 안내서 등을 제공하고 있다.

 

4.5. 일본

경제산업성 및 IPA(Information technology Promotion Agency)는 중소기업이 지켜야 할 정보보호 대책을 단계적으로 추진할 수 있도록 중소기업 정보보호대책 지침을 개발하여 정보보호에 관한 사고 사례 소개 및 원인 분석이나 대책의 예를 제시하고 있다. 이와 함께 중소기업이 스스로 정보보호 수준을 평가해볼 수 있는 정보보호 벤치마크시스템(ISM-Benchmark)도 운영 중에 있다.

 

또한, 중소기업 대상의 정보보안 지원활동으로 중소기업 스스로가 정보보호 대책을 적용 및 시행하는 것을 선언하는 제도인 Security Action을 수행하고 있다. Security Action은 일반적으로 지원하는 제도가 아닌 중소기업에서 정보보안 활동 수행 여부에 따라 1개~2개 등급으로 구분하여 마크를 부여하는 제도이다. 정보보호 자기 선언이라고도 칭하며, 자기 인증을 취득하여 기업의 제품이나 홈페이지에 부착하여 고객으로부터의 신뢰도를 향상할 수 있다.

 

5. 지역 중소기업 정보보호 개선 방안

 

인력 및 예산 등 경영 여건이 열악한 중소기업에서 정보보호를 수행하고자 할 때 매출 활동 중단이나 지연이 발생할 수 있으며, 이것이 중소기업에 미치는 영향이 매우 크게 된다. 중소기업의 업무 프로세스는 대기업을 비롯한 외부환경의 의존도가 높고, 비정형화 되어있으며, 기업마다 고유의 특성을 가지고 있다. 따라서 이런 중소기업의 경영 화경을 고려하여 정보보호 활동은 최대한의 유연성을 갖추어야 한다.

인력 및 예산 등 경영 여건이 열악한 중소기업에서 정보보호를 수행하고자 할 때 매출 활동 중단이나 지연이 발생할 수 있으며, 이것이 중소기업에 미치는 영향이 매우 크게 된다. 중소기업의 업무 프로세스는 대기업을 비롯한 외부환경의 의존도가 높고, 비정형화되어있으며, 기업마다 고유의 특성이 있다. 따라서 이런 중소기업의 경영 환경을 고려하여 정보보호 활동은 최대한의 유연성을 갖추어야 한다.

 

대기업보다 정보보호 투자가 미흡한 중소기업에 있어서, 정보보호 정책의 수준 차이는 조직의 정보보호 수준을 결정하는 요인으로 작용하고 있다. 따라서 중소기업 정보보호는 단순한 프로세스와 체계를 갖추고, 정보보호 운영 및 관리가 쉽고 쉽게 유지될 수 있도록 설계되어야 한다. 중소기업 정보보호 개선 사항으로 다음과 같은 내용이 검토되어야 한다.

 

① 지역의 중소기업 정보보호 실천을 위한 촘촘한 지역 정보보호 거점 기반을 중심으로 안전한 정보
보호 이용환경을 조성할 필요가 있다.

② 지속해서 발생하고 있는 중소기업의 정보유출 피해를 더욱 더 줄여나갈 수 있도록 지역 사이버
안전망 구축을 확대해 나아가야 한다.

④ 지자체와 협력을 통한 지역의 정보보호 실천을 위한 보안인식 개선 및 대응능력 체계를 구축해야
한다.

⑤ 대기업과 거래가 있는 중소기업은 공급망(Supply-chain) 관리의 일환으로서 대기업 쪽이 거래처로
서의 중소기업을 상생 협력자로서 예산 등 지원과 공동으로 보안 클라우드 서비스 등 도입을 검토
해야 한다.

⑥ 지역 전략·특화 산업 분야에서 서비스 기획 단계부터 정보보호를 고려한 보안 내재화 기반 조성이
필요하다.

⑦ 정부와 지자체의 적극적인 지역 중소기업에 대한 정보보호 인식 확대 및 역량 강화를 지원하고,
투자수요 창출을 통해 정보보호 산업 활성화 기반을 마련할 필요가 있다.

 

중소기업은 지역의 고용창출 및 경제성장의 원동력이며 혁신의 주체이자 지역 경제 활성화의 주체로, 이를 위해 중소기업의 안전한 경영 활동을 지원할 필요가 있다. 또한, 지역 간 정보보호 격차 문제와 중소기업 정보보호 문제를 국가적 당면과제로 인식하고 보안 취약 부문에 대한 지원과 점검을 확대해 보안 사각지대가 없는 촘촘한 지역 사이버 안전망을 구축해야 한다.

 

이를 위해서는 중앙 정부의 적극적인 지원과 지자체, 지역 유관기관, 학계의 능동적인 참여와 지역 중소기업 자체의 개선 노력과 보안업계의 시장 확대를 위한 노력 등이 함께 이뤄져야 하는 문제이다.

 

다시 말하면 지역 중소기업의 효율적인 보안 체계를 갖추기 위해서는 우선 중소기업 자체적으로 정보보호의 중요성을 인식해야 한다. 보안업계도 중소기업의 보안 환경에 최적화된 솔루션을 다양하게 개발해 중소기업이 합리적으로 사용할 수 있는 방안을 제시하면서 보안 의식을 고취하려는 노력이 필요하다. 향후 정부 차원에서도 중소기업의 열악한 보안 체계를 개선해 나갈 수 있도록 중소기업 정보보호 지원에 관한 법·제도적인 장치 마련도 함께 검토해볼 사항이다.