-

[디지털데일리 최민지기자] 기업들의 정보보안 관련 투자 수준이 ‘매우 미흡’한 것으로 드러났다. IT 예산 중 정보보호 예산에 7% 이상 쏟는 기업은 고작 0.7%며, 5% 이상 쏟는 기업도 1% 수준에 머무르고 있는 실정이다.

사이버공격은 지능화·고도화되고 있지만, 여전히 기업들은 정보보호를 투자가 아닌 비용으로 인식하고 있다는 방증이다. 이는 정보보안 수준의 질적 저하로 이어지고, 결국 사이버공격에 무방비로 노출되는 상황에 처할 수밖에 없다.

23일 미래창조과학부(장관 최양희, 이하 미래부)는 ‘2016년 정보보호 실태조사’ 결과를 발표했다. 정보보호 실태조사는 미래부가 한국인터넷진흥원(KISA)에 의뢰해 매년 실시하고 있으며, 종사자 1인 이상 9000개 사업체와 개인 4000명을 대상으로 지난해 8월~10월 면접조사를 통해 진행됐다.

이번 실태조사에 따르면 IT 예산 중 정보보호예산 비중이 7% 이상인 기업은 0.7%로 전년대비 0.5%p 줄었다. 정보보호예산 비중이 7% 이상인 곳은 모범기업으로 꼽힌다. 9000개 기업 중 고작 63곳만 정보보호 투자 관련 모범기업인 셈이다.

정보보호에 투자하는 기업은 32.5%로 전년대비 13.9%p 증가했으나, IT예산 중 정보보호예산 비중이 5% 이상인 기업은 1.1%로 전년대비 0.3%p 감소한 것으로 조사돼 여전히 미흡한 것으로 나타났다.

이처럼 기업들이 정보보안에 인색한 이유에 대해 허성욱 미래부 정보보호기획과 과장은 “정부가 요구하는 필요 최소한의 투자만 집행하고 있고, 정보보호 예산을 비용으로 생각하다”며 “좀 더 심화된 장기적 관점에서 투자가 없다는 것은 아쉬운 결과”라고 말했다.

정보보호 투자 상황은 이러한데, 사이버 공격은 점차 발전하고 있다. 4차 산업혁명을 주도할 빅데이터, 사물인터넷(IoT) 등 다양한 서비스가 새로운 먹거리로 부상하는 가운데 보안 위협도 점점 커지고 있다.

조사 결과, 기업들은 4차 산업혁명을 주도할 신규 서비스에 대해 ‘정보유출’을 가장 큰 보안위협으로 인식하고 있었다. 보안 위협과 관련해 IoT의 경우 57.5%, 클라우드는 77.1%를 차지했다. 정보보호 활동 때 애로사항으로는 예산(49.9%)과 전문인력 확보(34%)를 꼽았다. 개인의 경우, IoT·빅데이터 등 신규서비스 확산 때 다양한 보안위협 중 개인정보에 대해 가장 크게 우려했다.

특히, 침해사고 경험 중 파일을 암호화한 후 복호화 비용으로 금전을 요구하는 랜섬웨어 경험률은 전년보다 11배 증가한 18.7%를 차지했다.

올해는 대내외 정세 변화가 예고되는 만큼, 사회 혼란을 야기할 수 있는 대규모 사이버 테러 등에 대해 대비해야 한다는 의견도 제기됐다.

전길수 한국 인터넷진흥원 사이버침해대응본부장은 “미국에서 트럼프 정부가 1월에 출범하고, 국내에서는 조기 대선 이슈가 있다”며 “과거와 유사한 정치적 상황에서 사이버 위협이 이뤄졌던 만큼, 올해도 사이버 공격이 발생할 가능성은 있기 때문에 충분히 대비를 해야 한다”고 전했다.

송정수 미래부 정보보호정책관은 “정부·기업·이용자 등 각 주체 간 유기적 협력을 통한 사전 예방이 필요하다”며 “4차 산업혁명을 이끌어갈 IoT, 빅데이터, 클라우드 등 신규 서비스에서의 정보유출, 개인정보침해 등이 미래위협으로 꼽혔는데, 구축단계부터 보안을 탑재하는 보안내재화 등 다양한 대책이 중요하다”고 강조했다.

이어 “IT예산 중 정보보호예산 비중이 5%이상인 기업은 여전히 1% 수준으로 저조해 기업의 투자 활성화를 위한 조치를 더욱 가속화할 필요가 있다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr