[기획] 해커에 눈뜨고 당하는 중소기업

솔루션 개발업체 A사는 지난해 6월 대표이사 컴퓨터가 뉴질랜드의 해커에게 해킹당했다. PC에 저장돼 있던 고객정보가 해커에게 유출됐고, 해커는 A사의 고객사에게 자신의 계좌를 알려주며 ‘대금을 지급하라’는 이메일을 보냈다. 일부 고객사는 해커의 계좌로 총 5000달러(586만원)를 입금했다.

제조업체 B사의 메일계정을 도용한 해커는 2013년 B사 직원과 바이어 간의 메일내용을 파일공유 프로그램을 통해 지켜보다가 메일 내용에 있는 계좌번호를 바꿔치기해 결제대금 일부를 빼돌렸다. 이 해커는 B사 직원메일을 해킹한 뒤 비밀번호 등을 알아내 수십개의 IP로 번갈아가면서 접속했다. B사는 바이어와의 신뢰관계가 깨져 기업이미지에 큰 손해를 입었다.

기술유출 피해를 입은 기업 10곳 중 4곳은 이메일·해킹을 통해 정보가 유출됐다. 최근에는 메일이나 해킹뿐만 아니라 디도스(DDOS)공격, 악성코드로 인해 정보가 유출되기도 한다. C사는 지난해 해외영업 담당직원의 메일을 통해 폴더·파일 등을 암호화시키는 악성코드 ‘랜섬웨어’에 감염됐다. 악성코드를 내포한 메일은 국제운송회사 송장을 위장했다. D사의 연구소장은 2013년 클라우드를 통해 주요 기술 자료를 자신이 이직하려는 경쟁업체에 유출하려다 회사 보안관제시스템에 적발됐다.

D사처럼 보안관제시스템이 있으면 피해를 막을 수 있지만, 대부분 중소기업의 보안체계는 허술한 수준에 그치고 있다. 영세한 중소기업이 보안인프라를 구축하려면 비용이 적지 않기 때문이다. 중소기업연구원 조사에 따르면 2012년 중소기업 1개사가 보안관리를 위해 들이는 비용은 연평균 3530만원으로 기업 전체 매출액의 0.24% 수준이었다. 중소기업의 기술보호 역량수준은 2013년 100점 만점에 43.3점으로 ‘취약 수준’으로 평가됐다.

중소기업청이 지난해 1965개 기업을 대상으로 한 조사에 따르면 기술유출을 겪은 63개 기업 가운데 보안관리부서를 운영하는 기업은 8.3%에 불과했다. 정기적으로 보안감사를 하는 기업도 29.6%에 그쳤다. 중소기업청 관계자는 18일 “중소기업은 비용을 아끼기 위해 보안인프라의 필요성을 외면하거나 기존인력들에게 보안업무를 덤으로 맡기는 경우가 많다”며 “자칫 치명적인 손실을 입을 수 있는 만큼 보안관리를 철저히 해야한다”고 지적했다. 중기청과 한국산업기술보호협회는 정보보호에 취약한 중소기업들을 돕기 위해 악성코드·디도스 공격 등을 상시 모니터링해주는 ‘기술지킴서비스’를 제공하고 있으며, 현재 4200개 중소기업이 이용하고 있다. 최예슬 기자 smarty@kmib.co.kr