2003년 말 통계청 조사 결과에 따르면 종업원수 300인 미만 중소기업은 전체 기업체 318만개 중 99.9%를 차지한 것으로 나타났다. 이 중 50인 이상 중소기업 가운데 PC를 업무에 활용하는 비율이 98.7%에 달해 우리나라 중소기업의 정보화 수준은 매우 높은 편이라 할 수 있다. 그러나 이들 중소기업의 정보보호 수준은 매우 열악하다. 중소기업정보화경영원의 보고서에 따르면 중소기업이 국내 전체 침해사고 피해건수의 74% 이상을 차지하고 해킹 피해건수의 47%가 타 시스템 공격을 위한 해킹의 경유지로 이용되고 있다고 하니 우려하지 않을 수 없다.
2004년 말 한국정보보호진흥원이 실시한 중소기업 실태 조사에 따르면 총 정보화 투자금액 대비 정보보호 투자비율은 소기업이 2.2%, 중기업이 6.1%로 선진국의 10%에 비해 매우 저조한 것으로 드러났다. 자체 정보보호 전담인력 보유율은 5∼13%, 가장 기본적인 침입차단시스템 설치율도 26∼56%에 불과하고 해킹 피해 경험은 적어도 4곳 중 1곳에 이르는 것으로 파악돼 중소기업의 정보보호 문제가 심각하다는 것을 여실히 드러내 주었다.
이렇듯 중소기업의 해킹 피해가 심각한 데도 불구하고 정보보호에 대한 투자가 이루어지지 않는가장 큰 이유는 많은 비용이 들기 때문이며, 그 다음으로는 현재도 충분히 잘 대응하고 있다고 응답했다.
그러나 실제로 몇몇 중소기업을 선정해 현장에서 취약성을 진단한 결과 네트워크 공유기와 공개소프트웨어인 리눅스 등을 이용해 큰 돈 안 들이고도 비교적 정보보호를 잘하고 있는 기업도 있었지만 대부분 매우 심각한 상황에 놓여 있었다. A기업의 경우 국내외 영업 및 매출정보 등 핵심정보를 쉽게 빼낼 수 있을 정도로 무방비 상태였고, B기업이 웹호스팅 업체에 위탁하고 있는 홈페이지는 알려진 공개취약점을 이용해 쉽게 관리자 권한을 획득할 수 있어서 동일 서버에서 운영되고 있는 다른 600여개 기업의 홈페이지에도 심각한 영향을 미칠 가능성이 존재했다.
이런 위험을 예방하는 방법은 여러 가지가 있다. 우선 정보보호에 대한 투자 여력이 있는 중소기업이라면 전문인력을 고용하고 침입차단시스템 등 정보보호제품을 직접 구매해 설치·운영하는 방법이 있다. 비용이 더 저렴한 방법은 ISP, 보안관제업체 등에 매월 일정 비용을 지급하고 정보보호서비스를 받는 것이다. 마지막으로 정보보호에 대한 투자 여력이 없고 보호 대상 정보의 중요도도 다소 떨어지며 네트워크에 연결한 컴퓨터가 적은 경우 가격이 저렴한 네트워크 공유기를 이용하고 윈도 등 운용체계에 기본적으로 탑재되어 있는 보안 기능을 활용하는 방안이 있을 것이다.
한편 정부도 중소기업이 자율적으로 정보보호 환경을 조성하고 침해사고에 능동적으로 대응하는 등 정보보호 활성화에 나설 수 있도록 많은 노력을 기울이고 있다. 정보통신부는 올해 상반기에 장관이 직접 중소기업 CEO를 대상으로 두 차례에 걸쳐 간담회를 개최한 바 있으며 이를 통해 다양한 의견 수렴을 거쳐 중소기업의 정보보호를 위한 중점 추진사항을 제시한 것은 매우 고무적이다.
이를 통해 일단 한국정보보호진흥원 내에 ‘중소기업 정보보호 종합상담센터’를 설치해 상담 및 각종 정보를 제공하고 보안 ASP 서비스를 제공하는 업체, 민간교육기관 등에서 다양한 정보보호 교육 프로그램을 개발하기로 했다. 또 중소기업 CEO들을 대상으로 정보보호의 필요성에 대한 인식을 높이는 동시에 우수기업을 포상하는 정책도 병행 추진해 나갈 예정이다. 아울러 중소기업 규모별로 등급화한 정보보호 서비스 상품을 ASP 사업자들이 개발하고 등급별 가이드를 마련하는 등 총력을 기울이고 있다.
정부가 이처럼 중소기업의 정보보호 활성화를 위해 노력하고 있지만 결국 기업의 정보자산은 기업 스스로 책임지고 지켜야 한다. 이는 기업 정보자산은 어느 누구도 대신하여 지켜 줄 수 없다는 가장 단순한 명제이기도 하다. 기업의 핵심 기술이 해킹 등으로 유출되는 것은 기업의 사활이 걸린 문제다. 그렇기 때문에 정보보호는 이제 선택이 아닌 필수로 이해되고 받아들여져야 한다.
◆이홍섭 한국정보보호진흥원장 hslee@kisa.or.kr
