[국정감사] 이정헌 의원 

“내년 과기부 중소기업 정보보호 사업비 또 감액...중소기업 정보보호 차질 우려”

- 정보통신 분야 침해 사고 신고 건수 해마다 증가세...640건(21년)→1,269건(24년8월)

- 동기간 중소기업 사고는 83%로 압도적...정부는 피해 규모조차 파악 못 해

- ‘지역 중소기업정보보호 지원 사업’ 예산, `23년 105억→`24년 58억→`25년 26.36억으로 감액

- KISA 디지털위협대응본부 침해 대응 인력, 4년간 고작 4명 증가...124명(21년)→128명(24년8월)

- 이 의원, “해킹 조직의 분업화와 전문화로 사이버 침해 사고 느는데 정부는 왜 손 놓고 있나”

 

배포일 : 24.10.10.

○ 국회 과학기술정보방송통신위원회 소속 더불어민주당 이정헌 의원이 10일 국정감사에서 한국인터넷진흥원(KISA)의 중소기업 사이버 침해사고 대응 및 예방 예산 삭감을 지적했다. 중소기업에 대한 사이버 공격은 지속적으로 증가하고 있는데, 정부의 ‘지역 중소기업 정보보호 지원’ 사업비는 해마다 대폭 줄어 지원 대상 중소기업 수 또한 대폭 축소되고 있는 것으로 확인됐다.

○ 국회 과학기술정보방송통신위원회(이하 과방위) 소속 이정헌 의원(서울 광진구갑/더불어민주당)이 과학기술정보통신부(이하 과기정통부)로부터 받은 자료에 따르면, ‘지역 중소기업 정보보호 지원’사업비는 ▲2023년 105억 원, ▲2024년 58억 원으로 작년 대비 올해 대폭 삭감됐고, 정부가 편성한 내년 예산은 26.36억 원으로 집계됐다. 올해 대비 절반 이상이 감액됐다.

○ ‘지역 중소기업 정보보호 지원’사업은 과기정통부와 한국인터넷진흥원(이하 KISA)이 지역 중소기업의 정보보호 수준을 제고하고 사이버침해사고 예방ㆍ대응 역량을 강화하며, 정보보호 산업을 활성화하기 위하여 2014년부터 추진한 사업이다.

○ ‘지역 중소기업 정보보호 지원’사업의 세부 사업 내용으로는 △중소기업 대상 정보보호 컨설팅, △컨설팅 결과 기반 보안솔루션 도입 비용 지원, △영세기업 대상 구독형 클라우드 기반 보안서비스(SECaSS) 도입 비용 지원 등이 있다.

○ ‘지역 중소기업 정보보호 지원’사업 예산이 감액됨에 따라 지원대상 중소기업 수 또한 ▲2023년 1,500개 사에서 ▲2024년 700개 사로 축소됐다.

○ 이에 과기부는 “예산 삭감으로 인해 지원 규모가 감소된 것은 불가피한 일이지만 양적 규모가 줄더라도 한정된 예산으로 지원 대상 기업 선별 기준을 강화해 확실하게 지원받을 수 있도록 할 것”이라고 답변했다.

○ 중소기업 사이버 침해사고 대표 사례로는 △랜섬웨어 감염사고, △홈페이지 변조 사고, △관리시스템 內 문자발송 시스템을 악용하여 대량 스팸문자 발송 사고, △홈페이지 내 피싱 사이트 삽입 사고 등이 있다.

○ 한 중소기업 관계자에 따르면 “매출이 상대적으로 적은 중소기업은 사이버 침해 예방을 위한 투자가 어렵고, 사이버 침해로 유출된 정보에 대한 보상 처리를 하면 회사 운영을 접어야 하는 것이 현실”이라며 “집 털린 기업은 안 그래도 억울한데 국가가 기업에만 너무 많은 책임을 지게 한다”라고 호소했다. 그러면서 “대기업만을 위한 정책이 아니라 매출액이 적어 가이드라인을 준수할 여력이 없는 중소기업과 스타트업의 현실도 고려한 정책이 필요하다”라고 말했다.

○ 이 의원이 KISA로부터 받은 자료에 따르면, 최근 4년간 KISA에서 접수 받은 민간분야 사이버 침해 사고 신고 건수는 ▲2021년 640건, ▲2022년 1,142건으로 1년 사이 대폭 증가하더니 ▲2023년 1,277건, ▲2024년 8월 기준 1,269건을 기록해 지속적인 증가세를 보였다.

○ 이 중 2021년부터 최근 4년간 KISA에 접수된 정보통신 분야 침해 사고 중 중소기업의 침해 신고 건수는 3,581건으로 전체 신고 건수의 약 83%를 차지하는 것으로 드러났다. 이 의원에 따르면 KISA가 접수 받은 중소기업의 침해 사고 신고 건수 또한 해마다 증가해 ▲2021년 518건, ▲2022년 954건, ▲2023년 1,034건, ▲2024년 8월 1,075건으로 집계됐다.

○ 정보통신 분야 침해 사고 건수가 급증한 것에 비하여, KISA의 사이버 침해 대응 인력은 수년째 120여 명에 머무르고 있었다. 이 의원에 따르면 KISA 디지털위협대응본부의 디지털 위협대응 인력 현황은 ▲2021년 124명, ▲2022년 123명, ▲2023년 122명, ▲2024년 8월 128명이다.

○ KISA는 이와 관련해 침해 사고에 대응하는 인력이 부족한 현실을 인정하면서, “매년 인력 충원을 요청하지만, 기재부의 승인을 받아야 해 쉽지 않은 상황”이라고 답했다.

○ 또한, KISA의 ‘사이버보안 R&D 예산’은 2021년 약 140억 원이었지만 예산이 해마다 줄어 올해 예산은 약 33억 원 수준으로 4년 새 76.4%가 삭감되기도 했다.

○ 윤석열 정부는 ‘국가 사이버안보 대응 역량 강화’를 120대 국정과제(101번 과제) 중 하나로 선정하였는데 해당 과제에는 사이버공격으로부터 안전한 디지털플랫폼 정부 구현을 통해 범국가 사이버안보 역량을 결집하고, 글로벌 사이버 위협에 신속 대응하며 예방 체계를 구축한다는 내용이 포함되어 있다.

○ 한편, 한국형사ㆍ법무정책연구원이 출판한 「국가사이버안보 대응 역량강화 국정과제 이행을 위한 법제 기반 체계적 정비 연구보고서」에 의하면 사이버안보가 별개의 독립된 국정과제로 선정된 경우는 최초이다.

○ 이정헌 의원은 “윤석열 정부는 ‘국가 사이버안보 대응역량 강화’를 국정과제로 내세웠지만, 중소기업 정보보호 지원 예산 및 KISA의 사이버보안 R&D 예산은 대폭 삭감하고, 민간 기업의 사고에 대응하는 KISA 침해 대응 인력 구축에도 제대로 나서지 않고 있다”며, “현 상황은 정부가 중소기업의 사이버 침해 사고에 대응하고 예방하는 것을 포기하겠다고 선언한 것과 다를 바가 없는 수준”이라고 강력하게 비판했다.

○ 이어 “갈수록 고도화되는 해킹 조직의 분업화와 전문화로 인해 사이버 침해 사고가 전반적으로 급증하고 있지만, 정부는 기술 지원에만 나서는 등 실효성 없는 반쪽짜리 대응에만 그치고 있다”며, “특히 신고 건수의 대부분을 차지하는 중소기업은 예산 부족 등의 현실적인 이유로 정보보호를 위한 투자를 하기 어렵다”는 현실을 지적하고, “정부는 국민 앞에서 한 약속이 지켜지도록 사이버 피해 규모 파악과 더불어 사이버 공격 피해에 대한 적극적인 지원책 마련을 위한 예산 확보에 적극적으로 나서야 할 것”이라고 말했다.

○ 이에 이상중 한국인터넷진흥원장은 “중소기업 지원을 지금까지 보편적으로 해왔던 것”이라고 답했다. <끝>