기업 절반 이상이 정보보호에 투자를 전혀 하지 않았다. 한국인터넷진흥원(KISA)이 기업 정보보호 실태를 조사한 결과다. 정보보호에 투자하는 기업 비율이 고작 45.9%에 불과했다. 그 전 조사 때보다 높아졌다고 하지만 여전히 많은 기업들이 정보보호 사각지대에 놓였다. 최근 몇 년 사이 대규모 고객정보 유출 사태를 보고도 전혀 교훈을 얻지 못한 기업들이 많으니 답답하기 짝이 없다.
KISA가 이런 기업들에 그 이유를 물었다. 46.5%가 ‘정보보안 사고 피해가 거의 없어 필요성을 느끼지 않는다’고 답했다. 숱한 보안 사고를 남의 일로 여기는 기업이 많다는 얘기다. 또 정보보호 자체에 관심이 없거나(17.2%) 어떻게 해야 할지 모르는(10.7%) 기업도 있었다. 그나마 재정형편이 어려워 투자를 할 수 없는 일부 기업(15.8%)을 빼면 정보보호 의식이 백지 수준인 셈이다.
이 정도라면 강제라도 인식을 바꿔놓을 규제를 모색해야 한다. 기본적인 정보보호 투자 가이드라인을 제시하고 이를 의도적으로 어긴 기업에 불이익을 주는 제도를 고민해볼 때다. 이와 더불어 지원책도 한층 강화해야 한다. 특히 자금력이 약하거나 실적이 나쁜 중소기업은 정보보호 투자 자체가 부담이다. 이러한 기업에 그 투자에 비례한 지원금이나 세제상 인센티브를 제공하는 방법도 모색해야 한다.
디지털경제가 확산되면서 고객 개인정보를 수집하는 기업은 점점 늘어난다. 덩달아 보안 사고발생 가능성도 증가한다. 이를 방치하면 자칫 기업 경영까지 흔들린다. 정보보호가 기업을 경영하면서 반드시 해야 하는 투자라는 인식을 지금부터 확실히 심어주지 않으면 안 된다.
절반 넘는 기업이 보안 투자를 하지 않는다는 사실은 역으로 이 시장을 더 키울 수 있다는 의미다. 정보보호산업계는 기업들이 비용 부담을 덜 느끼게 할 다양한 상품과 서비스를 제공해야 한다. 기업 전산 자원이 몰리는 클라우드를 활용하는 것도 방법이다. 산업계와 정책 당국이 시장 전체 파이를 키우면 정보보호 의식은 높아지고 사고 예방체계도 갖춰진다.