사실상 손놓은 ‘중소기업 정보보안’···‘제로트러스트’ 도입 목소리 커진다

[이뉴스투데이 이승준 기자] 사이버 침해사고가 연일 증가세를 띠는 가운데 공격 대다수가 별도 보안인력을 두기 힘든 중소기업에 몰린 것으로 나타났다. 국제 해킹 그룹에서조차 중소기업을 공격 1순위로 삼는 것으로 알려지면서 ‘제로트러스트’ 도입의 중요성이 대두되고 있다.

10일 한국인터넷진흥원(KISA)의 ‘2024년 하반기 사이버 위협 동향 분석 결과’에 따르면 2년간 침해사고 신고는 2023년 1277건에서 2024년 1887건으로 전년 대비 약 48% 증가했다. 랜섬웨어 감염은 대기업에 비해 보안 투자가 어려운 중견·중소기업의 피해가 전체의 94%를 차지했다. 

이러자 보안 업계에서는 중소기업들의 제로트러스트 도입이 시급하다며 경고를 보내고 있다. ‘제로트러스트’란 ‘절대 믿지 말고 항상 검증하라’는 핵심 기조를 바탕으로 모든 사용자와 디바이스를 지속적으로 인증하고 최소 권한만을 부여해 내·외부 위협을 방지하는 보안 모델이다.

중소기업들을 향한 보안 우려가 특히 커지는 것은 국제 해킹 그룹이 이들을 노리고 있기 때문이다. 헌터스 인터내셔널, 스페이스 베어스, 언더그라운드 등 국제 해킹그룹들은 국내 중소 협력사들이 보안 관리가 취약하다는 판단 아래 대기업 주요 협력사 내부 자료를 탈취한 바 있다.

게다가 신고 접수된 정보유출 침해사고의 27.5%는 공격자가 탈취한 정보를 공개 채널을 통해 유포한 것으로 집계됐다. 기업 핵심기술 유출뿐 아니라 고객사·협력사 정보 유출에 따른 대외 신뢰도 하락 등 정보유출 사고에서 파생되는 유·무형 손실도 크다는 게 업계 중론이다.

보안 업계에서는 정보 탈취만 수행할 경우 피해 기업은 해킹 사실조차 인지하지 못할 수 있다고도 우려한다. 해커가 랜섬웨어를 실행해 업무를 마비시키거나 피해 기업에 직접 해킹 사실을 알리고 협상을 벌이지 않는 경우다. 피해 규모가 빙산의 일각일 수 있는 것도 이 때문.

중소기업이 사이버 공격의 주요 타깃이 되는 건 전담인력 부재의 영향이 크다. 보안기업 씨큐비스타 관계자는 “다수의 중소기업은 보안 전담 인력조차 없는 경우가 많다”면서 “오래된 버전의 소프트웨어를 그대로 사용하는 등 보안 투자 여력도 부족한 실정”이라고 설명했다.

이미 미국에서는 사이버 보안 행정명령으로 제로트러스트를 의무화하고 있다. 이를 통해 제로트러스트 아키텍처를 미국 연방정부에서 구현하도록 요구한다. 미국뿐 아니라 영국, 중국, 이스라엘 등에서도 활발하게 제로트러스트의 도입과 발전 방향을 논의 중인 것으로 알려졌다.

보안 업계 내부에서도 제로트러스트 모델을 향한 관심이 커지고 있다. 정보보호 산업의 지속 가능한 성장과 경쟁력을 높이기 위한 전략으로 도입을 적극 고려 중이다. 정부도 제로트러스트 도입 시범사업을 시작하며 보안 유니콘 기업에 100억원을 지원할 것을 계획하고 있다.

이 같은 분위기에 힘입어 제로트러스트는 올해 업계 주요 화두 중 하나로 떠오르기도 했다. 지난달 19일 열린 세계 보안 엑스포(SECON 2025)에서 인공지능(AI) 및 클라우드 보안과 함께 3대 키워드를 이뤘다. 여기서 피앤피시큐어, 틸론, 지엔 등이 제로트러스트 기술을 뽐냈다.

다만 일각에서는 정부의 제로트러스트 2.0 가이드라인이 구체화돼야 한다는 지적도 나온다. 업계 관계자는 “자율보안체계에 대한 구체적 가이드나 모범사례 공유가 더 필요하다”면서 “내부인력만으로 가이드라인을 이해하고 적용하는 데 어려움이 있는 상황”이라고 토로했다.

동시에 정부의 예산 축소 움직임에 우려를 표명하는 시각도 있다. 조영철 한국정보보호산업협회(KISIA) 회장은 “제도가 잘 만들어졌어도 예산이 부족하면 구현하기 어렵다”며 “제로트러스트가 사회에 안착하기 위해서는 올해 새로운 예산 편성 시 반영돼야 한다”고 말했다.