전 세계적으로 사이버 공격이 날로 격화되고 있지만, 정작 일선 기업의 정보보호 예산은 뒷걸음질 치고 있다고 영국 파이낸셜타임스가 PwC의 최신 보고서(Managing cyber risks in an
interconnected world)를 인용, 1일 보도했다.
PwC가 전 세계 1만개 중소·중견·대기업의 CEO와 CIO·CTO 등을 상대로 조사한 결과, 이들 기업의 올해 정보보호 사업비는 전년 대비 4%가량 감소했다.
하지만 같은 기간, 사이버 사고는 48% 급증해 신고된 사례만 4280만건에 달했다. 전 세계적으로 하루 평균 12만건의 사이버 공격이 이뤄지고 있다. 이에 따라 사고당 복구액은 270만달러로 전년 대비 3배나 늘었다.
PwC의 사이버 시큐리티 자문역인 데이비드 버그는 “최근 3년간 증가세를 보인 정보보호 예산이 올 들어 감소세로 돌아섰다”며 “정보보호 예산에 대한 기업 CEO들의 인식에 오해가 있는 것 같다”고 말했다.
매출 1억달러 미만의 중소기업의 경우, 올 들어 정보보호 예산이 평균 20% 급감했다. 이는 중견·대기업 대비 매우 큰 낙폭이라는 게 버그 자문역의 설명이다.
그는 “문제는 이들 중견·대기업의 시큐리티 문제가 대부분 보안에 취약한 중소업체인 외부 거래처 기업에 의해 발생한다는 점”이라며 “실제로 지난해 말 발생한 미 유통 대기업 ‘타겟’ 사태에서 보듯, 문제의 발단은 타겟 본사가 아닌 냉동·냉각 시설을 납품하던 거래업체의 시스템였다”고 말했다.
많은 중소기업들의 네트워크가 납품 거래 등의 이유로 대기업들과 연결돼 있기 때문에, 대기업 홀로 정보보안 예산을 많이 집행한다 해서 안전을 담보할 수 없게 됐다.
분야별로 보면, 우주항공·방산 기업의 정보보호 예산이 전년 대비 25%로 가장 가파르게 떨어졌다. 다음으로는 IT업계와 자동차업계 순으로 각각 21%와 16%씩 감소했다.
이는 해당 산업군의 업황과 밀접한 연관이 있다고 버그 자문역은 설명했다. 재무적 압박이 오면 CEO들은 정보보호 예산부터 깍는다는 얘기다.
반면, 최근 각광받는 산업인 ‘헬스케어’ 분야는 정보보호 예산이 70% 이상 급증했다. 특히 올 들어 환자개인정보 유출 등의 문제가 불거지면서, 관련 기업들의 시큐리티 비용 집행이 크게 늘었다고 PwC는 분석했다.
류경동기자 ninano@etnews.com