해킹 10건 중 8건이 중소기업인데, 보안 예산은 3년째 반토막
회사에 보안 담당자가 따로 없고, IT는 총무 팀장이 겸업하고 있다면. 랜섬웨어에 걸려 서버가 며칠째 먹통이 되는 걸 상상해 본 적 있는지. “우리 같은 작은 회사를 누가 해킹하겠어”라고 생각하고 있다면, 그게 바로 공격자가 노리는 빈틈이다.
2025년 한 해 동안 KISA(한국인터넷진흥원)에 신고된 침해사고는 2,383건으로 역대 최고치를 찍었다. 2023년 1,277건에서 2년 만에 거의 두 배. 이 중 80% 이상이 중소기업에서 터졌다.
국회 산업통상자원중소벤처기업위원회가 KISA에서 받은 자료를 보면, 최근 5년간 사이버 해킹 6,447건 중 82%인 5,286건이 중소기업 피해였다.
랜섬웨어도 2025년에 274건으로 전년 대비 40.5% 늘었고, 전체 악성코드 감염의 77% 이상을 차지했다. 예스24가 랜섬웨어에 걸려 닷새간 서비스가 멈춘 사례처럼, B2C 기업이 당하면 고객 불만과 보상 요구라는 2차 피해까지 따라온다.
그런데 여기서 진짜 문제가 드러난다.
정부 지원 예산이 87% 잘리면서 벌어진 일
침해사고는 매년 급증하는데, 정작 중소기업을 도와주는 정부 예산은 3년 새 87.6%가 깎였다.
‘지역 중소기업 정보보호 지원 사업’ 예산이 2023년 105억 원에서 2024년 58억 원, 2025년 26억 원, 2026년에는 13억 원까지 떨어졌다. 지원받는 기업도 2023년 1,500개에서 2026년엔 200개로 쪼그라들 전망이다.
전체 정보보호 예산은 오히려 늘었다. 2026년 4,012억 원으로 전년 대비 7.7% 증액. AI 기반 침해 대응 체계나 양자내성 암호 기술 같은 큰 프로젝트에 돈이 몰린 거다.
국회입법조사처도 “중소기업 지원 예산 삭감은 필요성이 줄어서가 아니라 우선순위에서 밀린 것”이라고 지적했다.
KISA 조사에 따르면 제조 중소기업 중 정보보호 예산이 연 500만 원도 안 되는 곳이 75.8%다. 1,000만 원 미만까지 합치면 91.5%. 이런 상황에서 수천만 원짜리 보안 장비를 사라고 하면 그건 현실과 동떨어진 얘기가 된다.
공급망을 타고 들어오는 공격, IT 유지보수 업체부터 뚫린다
2026년 4월, 경찰청과 KISA가 합동으로 경고를 내놨다. 신종 랜섬웨어 ‘미드나이트(Midnight)’와 ‘엔드포인트(Endpoint)’가 중소기업을 집중 공격하고 있다는 내용이었다.
공격 방식이 꽤 교묘하다. IT 시스템을 관리해주는 유지보수 업체에 먼저 “견적 문의” 같은 이메일로 침투하고, 그 업체를 사칭해서 고객사에 다시 악성 메일을 보낸다.
유지보수 업체가 뚫리면 거기 연결된 수십 개 중소기업이 한꺼번에 위험해진다.
파일만 암호화하는 게 아니라 데이터를 미리 빼돌린 뒤 “공개하겠다”고 협박하는 이중 갈취 방식까지 쓴다. 중소기업중앙회가 2026년 5월에 한국정보보호산업협회와 긴급 보안 세미나를 연 것도 이 흐름 위에 있다.
이게 왜 중요하냐면, 중소기업 하나가 대기업 공급망의 한 축인 경우가 많기 때문이다. 중소기업이 뚫리면 대기업까지 같이 흔들린다. 공격자 입장에서 중소기업은 보안이 약한 우회로인 셈이다.
돈 없이 시작할 수 있는 보안, 정말 있긴 한 걸까
있다. 다만 알아야 쓸 수 있다는 게 문제다. 정부와 KISA가 무료로 제공하는 것들부터 정리하면 이렇다.
KISA는 중소기업 서버를 대상으로 원격 보안 점검을 무료로 해주는 ‘내서버 돌보미’ 서비스를 운영한다. 윈도우, 리눅스 등 다양한 서버의 취약점을 원격으로 점검하고, 조치 방법까지 안내해준다.
자가진단 도구도 같이 준다. 보호나라(boho.or.kr)에서는 홈페이지 보안 강화 점검도 신청할 수 있고, 소프트웨어 보안약점 진단도 중소기업이면 무료다.
유료 도구를 쓸 여력이 없다면, 오픈소스를 써볼 수 있다. 보안 이벤트를 모아서 보여주는 통합 모니터링 도구인 Wazuh는 위협 탐지, 파일 변조 감시, 취약점 점검을 한꺼번에 할 수 있고 비용이 0원이다. 네트워크를 스캔하는 Nmap, 웹 취약점을 찾는 OWASP ZAP 같은 도구도 무료로 쓸 수 있다.
클라우드 기반 보안 서비스(SECaaS, 장비를 사지 않고 구독료만 내는 방식)도 중소기업에서 쓰기 시작했다. 월 수십만 원 수준의 MDR(위협 탐지와 대응을 대신 해주는 서비스)을 쓰면 별도 보안 인력 없이도 24시간 모니터링이 가능하다는 게 업계 설명이다.
정부 지원사업, 놓치면 안 되는 이유
줄어들었다고 해도 아직 남아 있는 지원사업들이 있다. 2026년에도 과기정통부와 KISA는 ICT 중소기업 정보보호 지원 사업을 통해 컨설팅, 보안 제품, 클라우드 보안 서비스 패키지를 제공하고 있다.
기술보호 바우처 사업은 보안 도구 도입 비용의 최대 80%, 7,000만 원 한도로 지원한다. 상생형 기술유출방지시스템 구축사업은 최대 8,000만 원까지 나온다.
문제는 이런 사업들이 있는지 모르는 기업이 많다는 거다. 예산이 소진되면 조기 마감되기 때문에, 공고가 뜨면 바로 움직여야 한다.
중소기업이 지금 당장 챙길 수 있는 것들
| 구분 | 뭘 할 수 있나 | 비용 | 어디서 |
|---|---|---|---|
| 서버 보안 점검 | 원격 취약점 점검 + 조치 안내 | 무료 | KISA 내서버 돌보미 |
| 홈페이지 점검 | 웹셸, 랜섬웨어 감염 여부 확인 | 무료 | 보호나라 |
| SW 보안 진단 | 소스코드 보안약점 분석 | 무료 | KISA 보안취약점 점검 |
| 오픈소스 보안 도구 | 통합 위협 탐지·모니터링 | 무료 | Wazuh 등 |
| 정부 보안 바우처 | 보안 도구 도입비 최대 80% 지원 | 자부담 20% | ICT 중소기업 정보보호 지원 |
| 콜드 백업 구축 | 네트워크 분리된 별도 백업 | 외장HDD 수만 원~ | 자체 구축 |
제일 먼저 할 일은 백업이다. 네트워크에 연결되지 않은 외장하드에 주기적으로 백업하는 것만으로도 랜섬웨어에 당했을 때 복구 가능성이 확 올라간다. KISA도 “콜드 백업 환경을 반드시 구축하라”고 강조한다. 그 다음은 내서버 돌보미 같은 무료 점검을 신청해서 지금 우리 서버에 어떤 구멍이 있는지 확인하는 거다.
보안이라는 게 한 번에 완벽하게 만들 수 있는 건 아닐 거다. 하지만 0에서 1로 가는 게 제일 크다. 백업 하나, 점검 한 번, 직원에게 “이상한 이메일 열지 말라”는 교육 한 번. 이 정도가 돈 한 푼 안 들이고 할 수 있는 첫 단계다. 거창한 보안 시스템보다 이 기본이 빠져 있을 때 사고가 나는 것 같다.
Q&A
Q1. 중소기업이 해킹을 많이 당하는 이유가 뭔가요?
보안 전담 인력이 없고, 예산도 연 500만 원 미만인 곳이 75% 이상이라 방어 체계가 거의 없다시피 합니다. 공격자 입장에서는 가장 쉽게 뚫리는 곳이기 때문에 집중 타깃이 됩니다.
Q2. KISA 내서버 돌보미는 어떤 기업이 쓸 수 있나요?
중소기업기본법에 해당하는 중소기업이면 누구나 무료로 신청할 수 있습니다. 윈도우, 리눅스 등 주요 서버를 원격으로 점검하고 조치 방법까지 알려줍니다.
Q3. 정부 보안 지원사업은 언제 신청하나요?
사업마다 다르지만 대부분 상반기에 공고가 나오고, 예산이 소진되면 조기 마감됩니다. KISA 홈페이지와 기업마당(bizinfo.go.kr)을 수시로 확인하는 게 좋습니다.
Q4. 오픈소스 보안 도구를 실제로 중소기업에서 쓸 수 있나요?
Wazuh 같은 도구는 무료이고 기능도 상용 제품에 뒤지지 않지만, 설치와 운영에 기술적 이해가 필요합니다. 내부에 IT 담당자가 있거나, 외부 파트너의 도움을 받으면 충분히 가능합니다.
Q5. 콜드 백업이란 뭔가요?
네트워크에 연결되지 않은 상태로 데이터를 별도 저장하는 방식입니다. 랜섬웨어가 시스템을 장악해도 콜드 백업 데이터는 암호화되지 않아 복구 가능성이 높습니다.
