며칠 전 정부가 발표한 '제2차 정보보호 종합대책'은 발표 시점부터 힘이 빠져 보였다. 지난해 연내 발표가 예고됐지만 일정이 미뤄진 끝에, 1월 말 과학기술관계장관회의 안건 중 하나로 조용히 포함됐다. 1차 대책 당시 배경훈 부총리겸 과학기술정보통신부 장관이 범부처 관계자들과 함께 직접 브리핑에 나섰던 장면을 떠올리면, 이번 대책은 시작부터 한 발 물러나 있었다.

더욱이 1차 대책이 당장의 사고 재발을 막기 위한 단기 대응 성격의 규제 중심 대책이었다면, 2차 대책은 기업의 자발적 보안 투자를 유도하기 위한 인센티브 등을 담겠다고 예고됐던 후속 대책이었다. 그래서 더 내용을 들여다보게 됐다. 정부는 대형 해킹 사고 이후 정보보호 전반을 점검하면서, 영세·중소기업 등에 대한 지원 강화를 주요 방향으로 제시했다. 이 문제 인식은 통계와도 맞닿아 있다. 과학기술정보통신부에 따르면 전체 사이버 침해사고 신고의 80% 이상이 중소기업에서 발생한다. 사회적 파장은 대기업 사고가 키웠지만, 더 취약한 쪽은 중소기업이라는 의미다.

그러나 대책에 담긴 지원 규모를 보니 선뜻 고개를 끄덕이기 어려웠다. 정부가 제시한 내용은 중소기업을 대상으로 맞춤형 컨설팅과 클라우드 기반 보안 서비스(SECaaS)를 제공하는 기업을 지난해 400개사에서 올해 500개사로 늘리겠다는 것이었다. '확대'라는 표현이 붙었지만, 이 사업은 2023년에는 1500개사를 지원했다. 수치만 놓고 보면 3년 만에 3분의 1 수준으로 줄어든 셈이다. 전국 중소기업 수가 800만개를 넘는 현실을 감안하면, 효과를 체감하기는 쉽지 않다.

올해 정보보호 예산은 4012억원으로 전년 대비 7.7% 늘었고, 인공지능 기반 침해 대응 체계 구축이나 양자내성 암호 기술 개발 등 굵직한 신규 사업에도 수백억원이 배정됐다. 침해사고가 가장 많이 발생하는 중소기업 대상 지원만 '찔끔' 회복에 그쳤다. 정부 관계자는 "이마저도 국회를 최대한 설득해 확보한 결과"라는 씁쓸한 설명을 내왔다. 결국 중소기업 보안 지원은 중요하다는 인식은 반복되지만, 정책 우선순위에서는 늘 뒤쪽에 머무는 구조인 셈이다.

중소기업의 보안 취약성은 개별 기업의 문제로 끝나지 않는다. 대기업과 하청·협력 관계로 얽힌 산업 구조에서, 중소기업은 공격이 가장 먼저 스며드는 지점이다. 이 고리가 무너지면 피해는 공급망을 타고 확산한다. 이 점을 정부도 모르지는 않는다. 배 부총리는 "대기업은 사고 발생 시 대응할 자본력이 있지만, 중소기업은 그렇지 못하다"며 "중소기업 해킹 이슈를 더 크게 보고 있다"고 말한 바 있다.





인식은 분명하다. 다만 그 인식이 정책의 크기와 속도로 충분히 옮겨졌는지는 여전히 물음표다. 중소기업이 감당하기 어려운 영역이라는 데 공감한다면, 대책 역시 '가능한 만큼'이 아니라 '필요한 만큼'에 더 가까워질 필요가 있다.





박유진 기자 genie@asiae.co.kr

