국회 과학기술정보방송통신위원회 소속 최형두 의원(국민의힘 마산합포구)은 21일 “정부가 중소기업 정보보호 직접 지원 예산을 2023년 105억 원에서 2026년 13억 원으로 대폭 줄였다”고 밝혔다. 3년 새 87%가 삭감된 셈이다.

랜섬웨어 감염과 기술 유출 같은 공급망 해킹이 잇따르며 사이버 공격이 국가 안보의 영역으로 확장되고 있는 가운데 정부가 보안 지원을 사실상 손놓았다는 비판에 직면했다.

최근 사이버 공격은 개별 기업을 직접 노리는 대신에 보안이 취약한 협력사를 우회 침투하는 ‘공급망 공격’으로 진화하고 있다.

국내 침해사고의 93%가 중소·중견기업에 집중돼 있다는 점에서 이들의 취약은 곧 국가 공급망 전체의 균열로 이어진다.

특히 스마트팩토리 확산으로 과거 외부와 단절돼 있던 산업제어망(OT·ICS)이 개방되며 해킹 위험은 폭발적으로 늘었다.

전문 인력조차 구하기 어려운 지방 중소 제조업체는 한 번의 공격으로도 공장 가동이 중단되고 납품이 마비되는 등 직격탄을 맞을 수 있다.

정부는 2026년까지 중소기업 2000곳에 대한 보안 지원을 약속했다. 하지만 실제 배정된 예산은 13억 원으로 목표 달성에 필요한 133억 원의 10%에 불과하다.

이에 따라 직접 지원 기업 수는 2023년 1555곳에서 2025년 430곳으로 급감할 전망이다.

최형두 의원은 “보안 투자를 감당하기 어려운 중소기업의 현실을 외면한 결정이다. 결국 대기업과 중소기업 간 보안 격차와 나아가 국가 공급망 전체의 리스크를 키울 것”이라고 지적했다.

전문가들 역시 “정보보호 산업의 경제적 파급력이 이미 입증됐는데 검증된 사업을 축소하는 것은 재정 운용의 합리성을 잃은 결정”이라고 비판했다.

정부는 인력 양성과 지역 정보보호지원센터 확대 예산을 늘렸다고 강조하지만 정작 중소기업의 보안 솔루션 도입을 돕는 ‘직접 지원’ 항목은 대폭 삭감됐다.

최 의원은 이를 두고 “총은 쥐여줬지만, 총알은 빼앗은 셈이다. 예산이 부족하면 지원센터는 단순 ‘민원 창구’로 전락할 수 있다”고 비판했다.

정부는 경남을 포함한 6개 광역권에 지역별 정보보호센터를 2026년까지 순차적으로 구축할 계획이지만 현장에서는 “센터만 짓고 실탄이 없으면 무슨 소용이냐”는 볼멘소리가 터져 나오고 있다.

주요 선진국들은 중소기업 보안을 국가 안보 전략의 핵심축으로 삼고 있다.

미국은 중소기업청(SBA)을 통해 보안 보조금 직접 지원과 국가 차원의 보안 가이드라인을 병행하고 있고, EU는 ‘사이버보안 바우처 제도’를 통해 기업이 직접 솔루션·컨설팅 비용을 지원받을 수 있도록 했다.

일본은 정부 주도 가이드라인과 민간 참여형 캠페인을 병행하며 보안 문화 자체를 끌어올리는 전략을 펴고 있다. 이들 국가는 모두 직접 재정지원과 국가 표준 제시를 공통 축으로 둔다.

반면 한국은 인프라만 늘리고 실질적 지원은 줄이는‘거꾸로 가는 보안정책’을 펴고 있다는 지적이 나온다.

최형두 의원은 “사이버 공격은 이제 금전 탈취를 넘어 국가 공급망 전체를 마비시키는 수준으로 진화하고 있다”며 “주요국이 중소기업 보안 투자를 강화하는 상황에서 우리 정부만 역행하는 예산 삭감을 단행했다”고 비판했다.

그는 이어 “지원 대상이 1500곳에서 400곳으로 줄면, 공급망의 가장 약한 고리인 영세 협력사들이 무방비로 노출될 것”이라며 “비현실적인 예산을 즉시 바로잡고, 현장에서 체감할 수 있는 실효적 대책을 세워야 한다”고 강조했다.

[스트레이트뉴스 경남=김태양 기자]