국회입법조사처 "예산 확대하고, 보안 투자 유인책 마련해야"
내년 예산안, 2021년 대비 약 10%…제로트러스트 확산 기반 필요"
"中企 대기업과 하청·협력 관계로 연결…국가 안전 위협할 수 있어"
![[서울=뉴시스] 중소기업 침해사고 신고 건수 및 정보보호 지원 예산. 과학기술정보통신부 제출자료 조사관 재구성. (사진=임법조사처 제공) *재판매 및 DB 금지](https://cdn.widedaily.com/news/photo/202511/283661_291132_455.jpg)
[서울=뉴시스] 심지혜 기자 = 중소기업 침해사고는 매년 증가하고 있지만 정부의 정보보호 지원 예산은 되레 매년 절반 가까이 삭감돼 왔다. 특히 내년 관련 예산안은 2021년 대비 10% 수준에 그쳐 보안 사각지대가 더 확대될 수 있다는 우려가 제기됐다.
국회입법조사처는 이같은 내용을 담은 '정보보호 사각지대 해소를 위한 중소기업 보안 역량 강화 방안' 보고서를 25일 발표했다.
중소기업 침해사고 신고 건수는 2021년 518건에서 2024년 1575건으로 3배 이상 늘었다. 올해 8월 기준으로도 1185건이 집계됐다.
같은 기간 전체 신고 중 중소기업 비중은 83.5%에 달했다. 보고서는 중소기업은 침해사고 발생사실을 인지조차 못하는 경우가 많아 통계에 잡히지 않는 ‘숨은 피해’까지 고려하면 실제 피해 규모는 훨씬 클 것으로 추정했다.
보고서는 대기업과 하청·협력 관계로 이루어진 산업 구조상 중소기업의 취약성이 그대로 상위 기업과 국가 전체의 사이버 안전망으로 이어질 수 있다고 지적했다.
반면 중소기업이 자체적으로 대응할 여력은 쉽게 늘지 않았다. 종사자 250명 이상 기업의 정보보호 정책 보유율은 98.7%지만 10~49명 기업은 48.9%에 그쳤고, 정보보호 조직 보유율 역시 26.2% 수준에 머물렀다. 대구 지역 조사에서도 100인 미만 기업의 관련 예산 편성률은 18.9%에 불과해 규모가 작을수록 구조적 한계가 뚜렷했다.
반면 정부의 중소기업 정보보호 지원 사업 예산은 지속적으로 감액됐다. ‘지역 중소기업 정보보호 지원’사업 예산은 2021년 109억5000만원에서 2024년 58억원, 2025년 26억3600만원으로 줄었다.
이러한 가운데 2026년 정부안은 13억원으로 2021년의 10% 미만에 불과했다. 지원 규모도 2023년 1500개사에서 내년 406개사, 2026년에는 200개사 수준까지 줄어든다.
보고서는 이러한 감액 추세가 중소기업 침해사고 증가와 사업 수요에 역행한다고 평가하며 2026년 예산안 심의 과정에서 적정 수준의 재정 확보가 필요하다고 주장했다.
제로트러스트 확산과 관련된 법적 기반 부족도 문제로 지적됐다. 현재 제로트러스트 관련 정부 가이드라인은 1.0과 2.0이 발간돼 있으나 이를 뒷받침할 법 조항은 부재하다.
정부 지원 예산도 2024년 62억원에서 2026년 45억원(안)으로 줄었다. 현재 정부는 가이드라인을 중심으로 모델 정의와 적용 방향을 제시하고 있지만, 이를 제도적으로 뒷받침할 법령은 마련되지 않았다. 제로트러스트 지원 예산 또한 2024년 62억에서 2026년 45억(안)으로 줄어드는 추세다.
보고서는 정보통신망법을 개정해 제로트러스트 정의와 기본원칙, 정부 지원 근거를 명확히 하는 방안을 검토할 필요가 있다고 제안했다. 중소기업 특성상 제로트러스트 도입 지원이나 바우처 도입 등 실질적 적용을 위한 지원책도 부족한 상황이다.
아울러 중소기업이 자발적으로 보안 투자를 확대할 수 있는 제도적 유인 장치도 충분하지 않은 것으로 나타났다.
현재 국회에는 정보보호 투자비용 세액공제를 담은 조세특례제한법 개정안이 계류 중으로 통과될 경우 국회에 계류 중인 조세특례제한법 개정안이 마련될 경우 시스템·설비 투자비용, 컨설팅 비용, 보험 가입비용, 전문인력 채용 비용 등에 대한 세액공제가 가능해져 보안 투자 환경이 개선될 것으로 내다봤다.
보고서는 중소기업이 산업 생태계 전반과 연결돼 있다는 점을 강조하며 보안 사각지대 해소를 위해 예산·법제·세제 측면에서의 종합적 보완이 필요하다고 했다.