[기자수첩]과기정통부의 해킹 통계부터 잘못됐다[은폐⑭]

답변 2개로 만들어진 정부의 국가승인통계

현실 인식 오류가 정책 실패로

지난 2월부터 해킹을 당해도 신고를 안 하는 기업들의 실태를 추적했다. 자신의 신분 노출을 극도로 꺼렸던 취재원들과 사이버보안 전문가들은 하나같이 "신고하는 기업은 극소수다" "열에 아홉은 신고하지 않는다"고 증언했다. 이번 취재를 통해 알게 된 가장 심각한 문제는 정부가 해킹 실태를 현실과 딴판으로 인지하고 있다는 점이다. 주무부처인 과학기술정보통신부의 국가승인통계는 이런 사실을 제대로 반영하지 못했다.

과기정통부는 지난해 12월 '2024 정보보호 실태조사' 결과를 발표했다. 2023년 기준 국내 기업의 사이버 침해사고 실태를 알 수 있는 통계다. 이를 보면 피해기업 중 '신고를 했다'고 응답한 비중은 19.6%에 달한다. SK텔레콤 사태 이후 이 통계를 그대로 인용해 피해기업 5곳 중 1곳이 해킹 신고한다고 쓴 언론들도 제법 있었다. "피해기업은 돈과 시간을 해커에게 몽땅 빼앗기고도 회사 이미지가 실추될까 봐 절대 외부에 알리지 않는다"는 현장 목소리와 괴리가 컸다.

누구 말이 맞는지 따져보기 위해 세부 자료를 요청해 받아봤다. 착시를 일으킨 원인이 눈에 들어왔다. 소기업(직원 10~49명) 신고율이 '100%'라는 부분이었다. 중소기업(50~249명)의 4.1%, 중견기업 이상(250명 이상)의 6.5%보다 월등히 높았다. 조사를 한 과기정통부 산하 기관에 왜 이런 수치가 나왔는지 물어봤다. "해킹 경험이 있다고 응답한 소기업이 두 곳이었다. 이 두 군데가 '신고를 했다'고 답해 100%로 나타났다"는 기막힌 대답이 돌아왔다. 또 다른 과기정통부 관계자는 "소기업은 매출 규모가 작고 암호화폐 지불 능력이 없어 애초부터 해커들의 목표물이 아니다"는 자기 고백을 덧붙였다.

그럼에도 정부는 3개 그룹(소기업·중소기업·중견기업 이상)을 합쳐 신고율이 20%에 가깝다고 밝혔다. 사정이 이러니 해커의 주요 표적인 중소기업과 중견기업 이상의 처참한 실태가 가려졌던 것이다. 해킹의 주요 먹잇감인 제조업의 신고율(2.2%)보다, 사업시설 관리업의 신고율(55.8%)이 훨씬 높게 나온 것도 이 그룹에서 해킹당한 기업 자체가 극소수이기 때문이다. 통계가 현실을 제대로 못 보여준다면 표본을 늘려서 조사하거나 통계적으로 의미 없는 '극단적 사례'는 제외하는 것이 옳다.

해킹당한 기업들이 신고를 안 하는 주된 이유 중 하나는 정부가 도움을 주지 못하기 때문이다. 통계부터 잘못됐으니 제대로 된 정책이 나올 리 없다. 모든 업무가 마비돼 숨넘어가기 직전인 기업들이 정부를 외면하고 해커와 몸값을 담판 짓는 음지의 협상가를 찾아가는 것도 이런 까닭에서다. 과기정통부가 첫 단추인 현실 인식을 제대로 못 하는 것은 한국의 사이버보안 대응이 총체적인 위기에 빠졌다는 방증이다.

전영주 기자 ange@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>