이주희 의원 “위협정보 567% 급증했는데…KISA 정보공유 대상 5000곳 불과”

[이데일리 권하영 기자] 한국인터넷진흥원(KISA)이 운영하는 사이버 위협 정보 분석 공유 시스템 ‘C-TAS)’의 기업 가입률이 저조한 것으로 나타났다. 특히 랜섬웨어 피해의 77%를 차지하는 중소기업의 가입률은 전체 중소기업의 0.03% 수준에 그쳐 개선이 시급하다는 지적이다.

21일 국회 과학기술정보방송통신위원회 국정감사에서 이상중 한국인터넷진흥원장이 참석한 모습. (사진=권하영 기자)

이주희 의원(더불어민주당)은 21일 국회 과학기술정보방송통신위원회 정보통신기술(ICT) 기관 국정감사에서 이상준 KISA 원장과 류제명 과학기술정보통신부(과기정통부) 제2차관을 상대로 이같이 지적했다.

이 의원은 “KISA는 C-TAS를 2014년부터 구축해 기업 간 사이버 위협 정보를 공유하면서 해킹을 예방하고 있다”며 “그런데 해킹 기술이 고도화되면서 기업의 피해가 큼에도 이 시스템에 가입한 기업 수가 500개에 불과하다”고 밝혔다.

이 의원이 제시한 자료에 따르면 C-TAS에서 공유하는 위협 정보 건수는 2020년 3900만 건에서 2024년 2억6000만 건으로 567% 급증했다. 이 의원은 “이렇게 위협 정보가 공유되는 비율이 높아지고 있다는 것은 C-TAS에 더 많은 기업이 참여해야 하는 이유”라고 강조했다.

이 의원은 정보통신망법 제45조의3 1항에 따라 정보보호최고책임자(CISO)를 지정 신고해야 하는 기업들의 C-TAS 가입이 특히 필요하다고 지적했다. 그는 “CISO 지정 신고 기업들은 전년도 정보통신 서비스 부문 매출액이 100억 원 이상이고 3개월간 1일 평균 이용자 수가 100만 명 이상인 주로 대규모 기업”이라며 “이들이 해킹과 같은 전자 침해 사고를 당하면 기업과 국민들에게 피해가 막대하다”고 설명했다.

이상중 KISA 원장은 “기업 입장에서 사실 (쉽게) 접근할 수 있는데 가입을 잘 하지 않고 있다”고 전했다.

이 의원은 그러나 “올해만 해도 SK텔레콤(017670), KT(030200), 롯데카드 등 대규모 해킹 피해가 잇따랐다”며 “이러한 침해 사고를 예방하고 대응 역량을 강화하기 위해서는 KISA의 C-TAS 가입이 기업들에게 최소한 필수적으로 요청되어야 한다”고 강조했다.

특히 중소기업의 C-TAS 가입률이 극히 저조한 점도 문제로 삼았다. 이 의원에 따르면 지난해 랜섬웨어 침해 사고 피해 기업의 77%가 중소기업이나, C-TAS 참여 비율은 전체 중소기업의 거의 0.03% 수준이었다.

이 의원은 “오히려 정부 시스템 지원이 더 필요한 기업이 더 멀리 있는 상황”이라며 “중소기업의 가입 지원과 독려 방안을 마련해야 한다”고 제안했다.