정부가 중소기업의 데이터 보안을 지원하는 ‘중소기업 데이터 백업 지원(데이터 금고) 사업’을 사실상 종료한 가운데, 랜섬웨어 피해는 갈수록 늘고 있어 자체 대응 역량을 갖추기 힘든 중소기업이 사각지대로 내몰렸다는 지적이 잇따르고 있다.

국회 과학기술정보방송통신위원회(과방위) 소속 윤영찬 더불어민주당 의원이 한국인터넷진흥원(KISA)로부터 받은 ‘랜섬웨어 피해 신고 건수’ 자료에 따르면 민간분야를 대상으로 한 랜섬웨어 신고가 2018년 22건에서 2022년 325건으로 약 14배 가까이 증가했다. 올해의 경우 8월 기준으로도 벌써 192건에 달한다.

문제는 이 같은 피해가 중소기업에 집중되고 있다는 점이다. 지난 2018년 중소기업이 입은 피해 건수는 20건으로 집계됐지만 지난해에는 253건까지 늘어나 약 6개년간 총 748개의 중소기업이 피해를 봤다.

같은 기간 대기업이 입은 피해가 총 18건, 중견기업과 비영리기업이 입은 피해가 각각 94건, 68건에 달하는 것과 비교된다.

랜섬웨어란 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어로, 파일이나 드라이브를 암호화해 금전을 요구하는 공격 방식이다.

실제 경북의 한 자동차 부품업체는 랜섬웨어 공격을 받아 해커로부터 약 20억원 상당의 가상화폐 지급을 요구받았으며, 비슷한 시기 또 다른 부품업체 2곳 역시 랜섬웨어 공격을 받아 해커에게 수억원을 지급한 사례가 있다.

문제는 기업이 자발적으로 중요한 데이터를 미리 백업함으로써 업무 중지, 데이터 유실과 같은 피해를 최소화해야 하지만 중소기업의 경우 랜섬웨어 피해를 방지하기 위한 자체 대응 역량을 갖추기 어려운 것이 현실이다. 이에 정부 차원에서의 지원이 더욱 절실한 상황이다.

앞서 정부는 지난해 ‘ICT 중소기업 정보보호 안전망 확충 사업’에 55억원 규모의 ‘중소기업 데이터 백업 지원(데이터 금고) 사업’을 편성했다. 한국인터넷진흥원(KISA)이 중소기업 4000개사에 대해 최대 500GB 용량의 ‘클라우드 백업 서비스 이용’ 지원을, 1000개사에 대해선 10TB 용량의 ‘하드웨어 백업 시스템(NAS·네트워크 연결 저장소)’ 구축을 지원하는 사업이다.

클라우드 백업 서비스 지원은 회사 자부담 10%(약 9만원), NAS 구축 지원은 회사 자부담 20%(약 28만원)이다. 나머지(각 사업당 최대 90만원, 140만원)는 정부가 지원하는 방식을 통해 비용에 대한 부담을 줄인 것이 골자다.

당초 정부는 올해까지 1만개 중소기업을 지원하겠다는 목표를 제시했지만 올해 관련 예산을 전액 삭감하는 방식을 통해 사업을 중단했다. 이에 따라 실제 지원받은 중소기업은 절반 수준인 5127개 기업(클라우드 백업 서비스 이용 3055개사, 백업 시스템 구축 2072개사)에 불과하게 됐다.

‘중소기업 데이터 백업 지원’ 사업 중단 이유로는 백업 지원만으로는 랜섬웨어 대응 한계가 있었다고 판단했기 때문이라는 게 KISA 측의 설명이다. 대신 중소기업의 특성을 반영해 ‘서비스형보안’(SE CaaS, Security as a Service) 지원을 확대하는 방향으로 사업을 재추진할 계획을 세우고 있다.

그러나 KISA가 발표한 ‘2023 상반기 사이버 위협 동향 보고서’에 따르면 랜섬웨어 침해사고를 당한 기업 중 데이터 백업을 진행한 기업은 2023년 상반기 기준 47%로 절반에도 미치지 못했다. 여기에 SECaaS는 데이터 백업의 대체재가 아니라는 점에서 더욱이 중소기업 데이터 백업을 위한 정부의 지원은 중단돼서는 안 된다.

데이터 백업과 SECaaS는 서로 대신하는 대체재가 아닌 병행해야 하는 보완재다. “기업이 건전한 경제 활동을 마음 놓고 이어갈 수 있도록 정부는 세심한 지원이 필요하다”고 꼬집은 윤영찬 의원의 지적처럼 정부가 산업의 근간인 중소기업에 대해 더욱 관심을 두길 바란다.

- 김진화 칼럼니스트