우리나라는 자타가 공인하는 정보기술(IT) 강국이다. 아쉽게 보안 산업은 그렇지 않다. 경제 규모에 비해 시장 규모가 턱없이 작다. 국내 최대 보안업체가 올리는 연간 매출이 1000억원 정도다. 세계 10위권의 경제 규모에 걸맞지 않다. 인력도 숙련자를 포함해 절대 부족하다. 이런 취약한 현실을 개선하고 IT 강국에 걸맞은 보안 생태계 구축을 위해 만든 것이 `정보보호산업진흥법`이다.
시행된 지 꼭 1년이 됐다. 법안 제정에 업계는 환영했다. 전문 인력을 배출하고 체계화한 기업 지원으로 산업 경쟁력을 높일 것이라는 기대 때문이었다. 실제로 정부 예산에 정보 보호 분야를 분리해 편성케 한 것은 큰 수확이었다.
그러나 지난 1년 동안의 성과를 되돌아보면 아쉬움도 크다. 무엇보다 업계 숙원이던 보안성 지속 서비스의 대가가 자리 잡지 못했다. 정보보호산업진흥법이 시행된 지 1년이 됐지만 공공기관과 지방자치단체, 기업에서 보안 제품 도입 후 `지속 서비스 대가`를 책정한 곳은 거의 없었다. 이에는 미흡한 제도 탓도 있다. 세부 요율이 명시되지 않아 발주처가 지속 서비스 대가를 산정하기 어려웠다. 당국은 하루라도 빨리 조치를 취해야 한다.
공공기관과 민간의 보안 의식이 여전히 취약한 것도 아쉽다. 정부는 올해도 잇달은 북한발 사이버 테러에 속수무책으로 당했다. 지난 8월 국방부 내부망이 뚫려 군사 자료까지 유출됐지만 두 달 뒤에야 이를 알았다. 연초에도 외교부, 통일부 등 정부 부처 몇 곳이 북한발 해킹에 이메일 비밀번호가 유출되는 사고가 있었다. 공공기관을 겨냥한 북한발 대형 해킹 사건이 사라지기는커녕 연례 행사처럼 되고 있다. 예산을 늘리고 인원을 충원해야 하지만 보안 의식도 함께 바뀌어야 한다. 취약한 보안 의식은 민간이라고 나을 게 없다. 보안 예산 자체가 없거나 적을 뿐만 아니라 우선 순위에서 늘 밀린다. 전담 인력을 갖춘 곳도 드물다. 정보보호산업진흥법 1년을 맞아 민·관 모두가 보안의 중요성을 다시 한번 새기자.