정보기술(IT) 예산의 5% 이상을 정보보호에 투자하는 우리나라 기업은 2.7%에 불과한 것으로 조사됐다. 영국 50%, 미국 40%에 비해 크게 낮았다.
미래창조과학부는 3일 서울 포스트타워에서 사이버안심 국가 실현을 위한 정보보호 대토론회를 개최했다.
이재일 한국인터넷진흥원 본부장은 ‘2014년 정보보호 실태조사’ 발표에서 국내 기업 97%가 정보보호 예산을 5% 미만으로 편성했다고 밝혔다. 지난해에는 5% 이상 정보보호에 투자한 기업도 전년 대비 0.5%포인트(P)가 하락했다.
기업들의 침해사고 대응활동은 전년 대비 1.4%P 증가했지만 시스템과 로그백업, 데이터백업 등은 오히려 감소했다. 기업의 정보보호 정책 수립률은 23.2%로, 2.4%P 증가했지만 정보보호 전담 조직(16.9%)이나 최고책임자 임명(16.9%)은 하락했다.
이재일 본부장은 “정보보호 산업 발전을 위해서 관련 서비스 대가 정상화가 절실하다”고 말했다. 심종헌 지식정보보안협회장은 “현재 정보보호 예산은 정보화 예산에 포함돼 있어 관련 예산을 늘리면 다른 부분에서 빼내야 한다”며 “정보보호분야를 정보화 예산에서 별도로 분리시켜야 한다”고 말했다.
김종현 국민은행 최고정보보호책임자(CISO)는 “정보보호 투자는 성과를 눈으로 확인할 수 없다는 점에서 금융권조차도 투자를 소홀히 하는 경향이 있다”며 “정부는 보안 수준에 따라 금융기관에 등급을 부여하는 방식 등으로 투자를 유도해야 한다”고 강조했다.
주요정보통신기반시설 보호강화와 관련해 신수정 KT 전무는 국가 주요기반시설이 지능형지속위협(APT) 공격에 노출될 수 있어 철저한 대비책을 마련해야 하며 정보 공유, 제도적 측면, 전문보안회사와 협업 등을 강조했다.
인력양성과 관련해 안성진 성균관대 교수는 화이트해커를 비롯한 정보보호 전문인력의 체계적 양성과 가전, 의료, 자동차 등 산업별 보안이슈에 대한 다학제적 접근 필요성을 발표했다.
윤종록 미래부 제2차관은 “아직도 많은 기업이 정보보호를 ‘투자’가 아닌 ‘비용’으로 인식하고 있다”며 “사이버보안 기초 체력을 강화해 정보보호로 먹고사는 나라를 만들어야 한다”고 강조했다.
임종인 안보특보는 “사이버 공격이 급증하고 있지만 우리나라에 사이버 안보 관련 컨트롤 타워는 없다”며 “국가안보실을 중심으로 신속하고 총체적으로 대응하는 데 노력하겠다”고 말했다.
김인순기자 insoon@etnews.com