국회입법조사처 "중소기업 정보보호 사각지대 심각"
![국회입법조사처는 25일 발표한 '정보보호 사각지대 해소를 위한 중소기업 보안 역량 강화 방안' 보고서에서 현행 중소기업 정보보호 정책의 한계를 지적하며 개선 방안을 제시했다고 밝혔다. [출처=이비엔]](https://cdn.ebn.co.kr/news/photo/202511/1688154_706608_1513.jpg)
국내 중소기업의 정보보호 역량이 대기업 대비 현저히 낮은 수준에 머물러 있어 국가 전체의 사이버 안전을 위협하고 있다는 분석이 나왔다.
국회입법조사처는 25일 발표한 '정보보호 사각지대 해소를 위한 중소기업 보안 역량 강화 방안' 보고서에서 현행 중소기업 정보보호 정책의 한계를 지적하며 개선 방안을 제시했다고 밝혔다.
최근 SK텔레콤, KT, 롯데카드 등 대기업을 겨냥한 대규모 사이버 침해사고가 연이어 발생하면서 대기업과 국가 핵심 인프라 보안 강화에 관심이 집중되고 있다. 하지만 실제 사이버공격의 주요 표적은 중소기업이며, 대기업과 하청·협력 관계로 연결된 산업 생태계 특성상 중소기업의 보안 취약성이 국가 전체의 사이버 안전을 위협할 수 있다고 보고서는 분석했다.
한국정보보호산업협회의 '2024 정보보호 실태조사'에 따르면 기업 규모별 보안 역량 격차가 극명하게 드러났다. 종사자 250명 이상 기업의 정보보호 정책 보유율은 98.7%, 조직 보유율은 87.0%에 달한 반면, 10~49명 기업은 각각 48.9%, 26.2%에 그쳤다.
2025년 10월 대구상공회의소가 대구 소재 기업을 대상으로 실시한 조사에서도 정보보호 예산 편성률이 100인 미만 사업장의 경우 18.9%에 그쳐 100인 이상 사업장의 66.1%와 큰 차이를 보였다.
중소기업은 재정 여력 부족으로 정부 차원의 정책적 지원이 필수적이나 충분한 지원이 이뤄지지 않아 보안 역량이 취약한 수준에 머물러 있다고 보고서는 진단했다.
특히 중소기업 대상 사이버공격은 지속적으로 증가하고 있다. 2021년 518건에서 2024년 1575건으로 늘어났으며, 2024년 전체 신고의 83.5%가 중소기업에 집중됐다. 반면 지원사업 예산은 2021년 109.5억원에서 2026년 예산안 13억원으로 매년 절반 수준으로 감액되어 중소기업 정보보호 역량 강화에 차질이 우려된다고 보고서는 지적했다.
보고서는 중소기업의 보안 취약성 해소를 위한 세 가지 정책 개선 방안을 제시했다. 첫째, 2026년 예산안 심의 과정에서 지원사업의 정책적 중요성을 고려해 적정 예산을 확보해야 한다고 강조했다.
둘째, 중소기업의 제로트러스트 확산을 뒷받침할 법적 근거 마련이 필요하다고 제안했다. 정보통신망법을 개정해 제로트러스트 정의, 기본원칙, 정부 지원 근거 등을 명확히 하고, 정부의 제로트러스트 지원 예산을 확충해 기존 시범사업 및 컨설팅 사업을 확대하며 중소기업 대상 특화 사업을 신설할 필요가 있다고 밝혔다.
셋째, 현행 정책이 규제 강화에 편중된 경향이 있어 중소기업의 자발적 보안 투자 확대를 이끌어내기에 한계가 있으므로 세제혜택 등 유인책을 마련해야 한다고 제안했다. 제22대 국회에는 중소기업 등의 정보보호 투자 촉진을 위한 조세특례제한법 일부개정법률안이 계류 중이다.
보고서는 관련 법적 근거가 마련되면 중소기업의 자율적 보안투자 환경을 조성하고 정부 재정 지원에 대한 의존도를 점진적으로 완화하는 효과가 있을 것으로 기대된다고 전망했다.
아울러 정보보호 투자 규모에 따른 과징금 감면, 정부조달 우대, 자율공시 중소기업에 대한 정보보호 관리체계 인증 수수료 감면 비율 확대 등 세제지원 외의 실효성 있는 유인책도 함께 모색할 필요가 있다고 덧붙였다.