기업 랜섬웨어 피해 지속 증가···작년 신고 건수 90%는 중소기업
정부, 2년 계획 밝힌 ‘데이터백업’ 사업 포기···1년만에 예산 55억 전부 깎여
[시사저널e=김용수 기자] 랜섬웨어 피해가 보안 투자 여력이 부족한 영세·중소기업에 집중된 것으로 나타났다. 보안 피해 건수도 가파르게 증가했다. 이 가운데 정부는 그간 확대해 온 중소기업 정보보호지원 사업 예산을 지난해 기준 전년 대비 20% 이상 대폭 줄인 것으로 확인됐다. 지난해부터 2년간 추진하기로 한 ‘데이터금고’ 사업 예산도 사업 개시 1년 만에 전액 삭감했다.
12일 국회 과학기술정보방송통신위원회 소속 윤영찬 더불어민주당 의원이 과학기술정보통신부와 한국인터넷진흥원(KISA)으로부터 제출받은 ‘민간분야 랜섬웨어 신고 건수’ 자료에 따르면 KISA에서 접수 받은 중소기업 랜섬웨어 신고 건수는 지난해 283건으로 역대 최대치를 기록한 것으로 나타났다. 전체 피해 사례 중 중소기업이 차지하는 비중은 87%에 달한다.
올해 8월까지 기업 랜섬웨어 신고건수는 총 192건인데, 이 중 중소기업이 차지하는 비중은 총 153건으로 84%에 육박했다.
이처럼 확대되는 랜섬웨어 공격으로 인한 업무 중단 및 금전적 피해를 예방하려면 주기적인 백업이 중요하지만, 백업을 하는 국내 기업은 47%에 불과한 것으로도 나타났다. 특히 중소기업은 백업 시스템 구축 비용 및 인력 부담이 큰 상황이다.
이에 정부는 중소기업의 랜섬웨어로 인한 피해를 줄이기 위해 지난해 ‘ICT 중소기업 정보보호 안전망 확충 사업’ 중 ‘중소기업 데이터 백업 지원(데이터 금고) 사업’의 예산 55억원을 신규 편성했다.
KISA가 중소기업 4000개사에 대해 최대 500GB 용량의 ‘클라우드 백업 서비스 이용’ 지원을, 1000개사에 대해선 10TB 용량의 ‘하드웨어 백업 시스템(NAS·네트워크 연결 저장소)’ 구축을 지원하는 것이 골자다. 클라우드 백업 서비스 지원은 회사 자부담이 10%(9만원)고, NAS 구축 지원은 자부담이 20%(28만원)이며, 나머지 80~90%는 정부가 부담한다.
당시 정부는 올해까지 1만개 중소기업 지원 목표를 제시한 바 있다. 그러나 당초 계획과 달리 1년여 만에 사업을 포기하고, 관련 예산을 전액 삭감했다. 올해 데이터금고 사업이 중단되면서, 데이터금고 사업의 목표치였던 ‘2년간 1만개 기업 지원’은 5127개 기업(클라우드 백업 서비스 이용 3055개사, 백업 시스템 구축 2072개사) 지원으로 끝나게 됐다.
윤 의원실이 KISA로부터 제출받은 ‘ICT 중소기업 정보보호 안전망 확충 예산 현황’ 자료에 따르면 올해 전체 예산은 135억8000만원으로 전년 173억400만원 대비 22%가량 감소한 것으로 나타났다. 특히 전체 예산 중 데이터금고 사업 예산은 지난해 55억원에서 올해 전액 삭감됐다.
이같은 상황을 두고 정부가 중소기업의 랜섬웨어 피해를 줄이기 위한 정책 지원을 확대할 필요가 있단 지적이 나온다.
윤 의원은 “디지털 중심 사회에 접어들면서 데이터와 그 데이터를 지키는 보안 역량이 기업 원래의 사업 영역만큼이나 중요한 경쟁력의 척도가 되고 있다”며 “거대한 자본이나 기술력을 구축하고 있는 대기업에 비해 중소기업은 상대적으로 여유가 없어 아주 사소한 부분이라도 정부의 세심한 지원이 필요하다”고 강조했다.
KISA는 1년 만에 데이터금고 사업을 종료한 이유에 대해 직접적인 데이터 백업지원만으로는 랜섬웨어 피해 대응에 한계가 있어 ‘클라우드 기반 종합 보안서비스(SECaaS)’를 확대 지원하는 방향으로 정책 방향을 수정한 것이라고 해명했다.
KISA 관계자는 “데이터금고 사업이 중소기업 랜섬웨어 피해를 줄이고자 했던 취지가 있었지만, 실제 운영해보니 직접적인 데이터 백업지원(클라우드, 백업서버 구축)만으로는 랜섬웨어 피해대응에 한계가 있고, 기업에게 실질적이고 종합적인 지원이 이루어져야 보안역량을 키울 수 있다는 판단이 있었다”며 “보안조직과 담당자가 없는 중소기업 특성을 반영해 최신 트렌드인 SECaaS를 확대 지원하는 방향으로 정책 방향을 수정한 것”이라고 밝혔다.