3일 국회 과학기술정보방송통신위원회 소속 국민의힘 김장겸 의원이 KISA로부터 제출받은 자료에 따르면 2022년부터 올해 8월까지 기업의 사이버 침해사고 신고 건수는 5807건이다.

연도별로는 2022년 1142건, 2023년 1277건, 2024년 1887건이었으며 올해는 8월까지임에도 이미 1501건을 기록했다.

침해 유형별로는 시스템 해킹이 3758건으로 가장 많았고, 악성코드 감염·유포 1073건, 디도스(DDoS) 공격 976건 순이었다.

특히 DDoS 공격은 2022년 122건에서 지난해 285건으로 두 배 이상 증가했으며, 시스템 해킹도 같은 기간 673건에서 1373건으로 급증했다. 악성코드 감염·유포는 347건에서 229건으로 줄었다.

이같은 수치는 단순 시도가 아닌 실제 침해 사실이 확인돼 당국에 신고된 건수라는 점에서 피해의 심각성을 드러낸다.

공공기관의 경우 국가정보원이 별도 관리해 통계에 포함되지 않았다는 점을 고려하면 전체 피해 규모는 더 클 것으로 보인다.

KISA는 "기업들이 침해 사실이 외부에 알려질 경우 이미지 실추와 신뢰도 하락 등 영업상 피해를 우려해 피해기업의 동의 없는 내역 공개는 어렵다"고 설명했다.

KISA의 대응 업무는 폭증하고 있다.

스미싱 탐지·대응 건수는 2022년 3만7천여건에서 지난해 219만여건으로 약 60배 늘었고, 악성코드 분석도 같은 기간 66만7천여건에서 196만여건으로 3배 가까이 증가했다.

그러나 KISA의 침해사고 대응 인력은 2022년 123명에서 올해 132명으로, 최근 3년간 9명 늘어나는 데 그쳤다. 같은 기간 '해킹·바이러스 대응체계 고도화' 예산은 601억원에서 736억원으로 확대돼 예산 확충에 비해 인력 보강은 미진하다는 지적이 나온다.

김장겸 의원은 "사이버 침해 사고가 폭증하고 있는 상황에서 KISA 조사 인력 증원이 한 자릿수에 불과하다는 것은 국가적 대비 태세가 충분히 갖춰지지 못했다는 얘기"라며 "사이버 안보가 곧 국가안보인 시대에서 전문인력 확충 없는 예산 확대는 밑 빠진 독에 물 붓기"라고 지적했다.

binzz@yna.co.kr