최근 구인·구직 플랫폼인 알바몬에서 해킹 공격으로 2만2473건에 달하는 개인정보가 유출됐다. 알바몬은 이달 초 “‘이력서 미리보기’ 기능에서 비정상적 접근과 해킹 시도가 감지됐다”며 “이 과정에서 일부 회원의 이름·휴대전화 번호·이메일 주소 등이 유출된 것을 확인했다”고 밝혔다. 알바몬 운영사(잡코리아)는 비상장 중견기업이라 정보보호 현황 공시 의무대상이 아니다.

지난해 개인정보 유출이 발생한 민간기업 10곳 중 6곳은 중소기업인 것으로 나타났다. 중소·중견기업은 정보보안에 대한 투자 여력이 부족해 해킹 공격 등에 더 취약하다. 12일 개인정보보호위원회에 따르면 지난해 민간기업의 개인정보 유출 신고(203건) 가운데 중소기업이 60%로 가장 많았다. 이어 해외사업자(12%), 협·단체(12%), 중견기업(11%), 대기업(5%) 순이었다. 민간기업 정보 유출의 원인은 해킹(67%)이 가장 많았다. 다음으로 업무 과실(20%), 원인 미상(6%), 시스템 오류(5%)순으로 집계됐다.

대부분 중소기업은 개인정보처리시스템 개발 및 운영 업무를 ‘웹 호스팅’ 서비스에 전적으로 의존하고 있다. 웹 호스팅은 웹 서버 등을 기업에 임대해주는 서비스로, 기업이 직접 시스템을 운영하는 것보다 비용이 저렴하고 관리가 쉽다. 하지만 중소기업 스스로 보안정책을 마련하거나 투자하지 않기 때문에 해킹 공격 등에 즉시 대응하거나 예방하기는 어려운 구조다.

 
실제로 기업 규모별 정보보호 실태는 차이가 큰 것으로 나타났다. 과학기술정보통신부의 ‘2024년 정보보호 실태조사’에 따르면 정보보호 정책을 보유한 기업을 조사한 결과 직원 250명 이상 기업이 98.7%에 달했다. 하지만 직원 50~249명 기업은 58.7%, 10~49명 기업은 48.9%에 그쳤다. 정보보호 전담조직 보유율 또한 250명 이상 기업이 33.9%로 가장 높았다. 50~249명 기업은 5%, 10~49명 기업은 1.6%에 불과했다. 중소·중견기업 대부분은 사내에 정보보호를 위한 조직이 따로 마련돼 있지 않고, 위탁이나 외주에 의존한다는 뜻이다.

전문가들은 정부가 중소·중견기업에 대한 보안 프로그램 지원, 정보보호 교육 등을 확대하는 동시에 기업 스스로 인식을 바꿀 필요가 있다고 조언한다. 장비만 갖춘다고 해서 정보보호가 제대로 이뤄지는 것은 아니기에, 기업 차원에서 정보보호를 비용이 아닌 투자 개념으로 받아들여야 한다는 것이다. 아울러 기업이 보안 투자 확대에 나설 수 있도록 정보보호 현황 공시의 의무대상을 늘려야 한다는 지적이 나온다. 해당 공시는 기업이 정보보호를 위해 얼마나 투자하고 어떤 활동을 하는지, 전담 인력은 몇 명인지 등을 알리도록 하는 제도다. 연 매출액 3000억원 이상 상장사, 기간통신사업자 등을 대상으로 해 주요 대기업이 의무대상에 포함된다. 올해 의무 공시 기업은 총 671개 사다.


이기혁 중앙대 보안대학원 교수는 “많은 개인정보를 보유한 중소·중견기업은 정보보호 공시를 의무화해 기업이 보안에 신경 쓰도록 유도할 필요가 있다”라며 “정보보호가 최고경영자(CEO)의 어젠다가 되는 게 가장 중요하다”고 강조했다.