중소기업 사이버 침해사고가 급격히 늘고 있는데 정부는 오히려 정보보호 지원 예산을 매년 대폭 삭감하고 있는 것으로 나타났다. 규제 중심의 대책만 강화되고 있다는 지적이다.

25일 국회 입법조사처에 따르면 중소기업 침해사고 신고 건수는 2021년 518건에서 2022년 954건, 2023년 1034건, 2024년 1575건으로 3배 이상 급증했다.

2024년의 경우 전체 기업 신고 건수 1887건 중 83.5%가 중소기업 신고 건이었다.

그런데 정부의 지역중소기업 정보보호 지원 사업 예산은 2021년 109억5000만원에서 2022년 101억8000만원, 2023년 105억원으로 100억원 이상을 유지했지만 2024년 58억원, 2025년 26억3600만원, 2026년(편성안) 13억원으로 3년 연속 반토막 났다. 지원대상도 지원 규모가 1300~1500개 사에서 2025년 406개사로 축소됐다.

기업의 정보보호 수준은 규모에 따라 편차가 크다. 정보보호산업협회 실태조사에 따르면 종사자 250명 이상 기업의 경우 정보보호 정책 보유율은 98.7%, 조직 보유율은 87.0%에 달하는 반면, 10~49명 기업의 경우 정책 보유율은 48.9%, 조직 보유율은 26.2%에 그치는 것으로 나타났다.

입법조사처는 “재정 여력이 부족한 중소기업의 보안역량을 강화하기 위해서는 정부의 재정 지원을 확대할 필요가 있으나, 직접적 재정 지원에는 한계가 있는 만큼 자발적 보안 투자를 유인할 수 있는 제도적 장치가 병행되어야 한다”면서 “현행 정책은 규제 강화에 편중된 경향이 있어, 중소기업의 자발적 보안 투자 확대를 이끌어내기에는 한계가 있어 보인다”고 지적했다.

최근 발표된 ‘범부처 정보보호 종합대책’에 대해서는 “보안 의무 위반에 대한 과태료·과징금 상향, 징벌적 과징금 도입 등 규제 중심의 대책은 강화되었으나, 보안 투자 시 체감할 수 있는 세제혜택 등 구체적 인센티브 등은 제시되지 않았다”고 비판했다.

이재걸 기자 claritas@naeil.com