 |
과기정통부는 지난해 12월 '2024 정보보호 실태조사' 결과를 발표했다. 2023년 기준 국내 기업의 사이버 침해사고 실태를 알 수 있는 통계다. 이를 보면 피해기업 중 '신고를 했다'고 응답한 비중은 19.6%에 달한다. SK텔레콤 사태 이후 이 통계를 그대로 인용해 피해기업 5곳 중 1곳이 해킹 신고한다고 쓴 언론들도 제법 있었다. "피해기업은 돈과 시간을 해커에게 몽땅 빼앗기고도 회사 이미지가 실추될까 봐 절대 외부에 알리지 않는다"는 현장 목소리와 괴리가 컸다.
누구 말이 맞는지 따져보기 위해 세부 자료를 요청해 받아봤다. 착시를 일으킨 원인이 눈에 들어왔다. 소기업(직원 10~49명) 신고율이 '100%'라는 부분이었다. 중소기업(50~249명)의 4.1%, 중견기업 이상(250명 이상)의 6.5%보다 월등히 높았다. 조사를 한 과기정통부 산하 기관에 왜 이런 수치가 나왔는지 물어봤다. "해킹 경험이 있다고 응답한 소기업이 두 곳이었다. 이 두 군데가 '신고를 했다'고 답해 100%로 나타났다"는 기막힌 대답이 돌아왔다. 또 다른 과기정통부 관계자는 "소기업은 매출 규모가 작고 암호화폐 지불 능력이 없어 애초부터 해커들의 목표물이 아니다"는 자기 고백을 덧붙였다.
그럼에도 정부는 3개 그룹(소기업·중소기업·중견기업 이상)을 합쳐 신고율이 20%에 가깝다고 밝혔다. 사정이 이러니 해커의 주요 표적인 중소기업과 중견기업 이상의 처참한 실태가 가려졌던 것이다. 해킹의 주요 먹잇감인 제조업의 신고율(2.2%)보다, 사업시설 관리업의 신고율(55.8%)이 훨씬 높게 나온 것도 이 그룹에서 해킹당한 기업 자체가 극소수이기 때문이다. 통계가 현실을 제대로 못 보여준다면 표본을 늘려서 조사하거나 통계적으로 의미 없는 '극단적 사례'는 제외하는 것이 옳다.
해킹당한 기업들이 신고를 안 하는 주된 이유 중 하나는 정부가 도움을 주지 못하기 때문이다. 통계부터 잘못됐으니 제대로 된 정책이 나올 리 없다. 모든 업무가 마비돼 숨넘어가기 직전인 기업들이 정부를 외면하고 해커와 몸값을 담판 짓는 음지의 협상가를 찾아가는 것도 이런 까닭에서다. 과기정통부가 첫 단추인 현실 인식을 제대로 못 하는 것은 한국의 사이버보안 대응이 총체적인 위기에 빠졌다는 방증이다.
 |
전영주 기자 ange@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
