사이버공격 증가에도 최근 3년 동안의 정보보호 예산은 오히려 감소한 것으로 확인됐다.
6일 한국정보보호산업협회(KISIA)가 내놓은 '2019년 정보보호 실태조사'에 따르면 정보보호(개인정보보호 포함) 예산을 편성한 국내 기업은 2017년 48.1%에서 2018년 36.2%로 줄었다가 지난해 32.3%로 감소했다.
전체 정보기술(IT) 예산 가운데 정보보호 예산 삭감은 뚜렷하게 나타난다. 지난해 IT 예산 가운데 정보보호 예산이 '1% 미만'인 기업은 20.2%, '5% 이상'인 기업은 2.9%에 불과했다. IT 예산 100만원 가운데 1만원도 정보보호 예산에 쓰지 않는 기업이 5곳 가운데 1곳인 셈이다.
예산 축소는 정보보호 산업에 직접 영향을 미쳤다. KISIA 주관 2019년 정보보호산업 실태조사에 따르면 국내 정보보호 산업의 매출 증가폭은 전년 대비 1.3%포인트(P) 감소했다. 물리보안 매출을 제외한 정보보안 매출로만 보면 지난해 매출 성장률은 6.3%로 전년(12.3%) 대비 반토막 수준이다.
글로벌 보안업체 파이어아이가 발간한 '엠트렌드 2020' 보고서에 따르면 지난해 사이버공격에 대한 외부 통보는 내부 탐지를 초과했다. 기관이나 기업이 자체 파악하는 사이버공격보다 외부에서 알려주는 경우가 많아졌다는 의미다. 특히 아시아·태평양 지역은 외부 통보가 내부 탐지의 2.7배에 달했다. 미주와 유럽 지역은 외부 통보와 내부 탐지 두 비율이 비슷했다.
업계 관계자는 “투자가 안 되는 이유는 기관과 기업 내 보안 담당자의 입지가 약하기 때문”이라고 지적했다. 보안 담당자가 보안의 중요성을 피력하더라도 최고경영자(CEO)로부터 권한을 부여받지 못하면 투자가 이뤄질 수 없다는 것이다. 이 관계자는 “그럼에도 침해사고가 발생하면 보안 담당자에게 책임을 묻는다”면서 “업계에서 '최고정보보호책임자(CISO)는 책임만 있지 권한은 없다'고 토로하는 이유”라고 전했다.
정보보호 안전불감증을 해결할 대안으로는 '보안 내재화'가 거론된다. 보안 내재화는 사물인터넷(IoT) 기기처럼 인터넷과 연결된 모든 사물을 설계할 때부터 보안을 고려하는 개념이다.
김승주 고려대 정보보호대학원 교수는 “해외와 우리나라 간 근본 차이는 보안 내재화”라면서 “해외에서는 군이 첨단 무기 체계를 구축하는 과정에서 보안 내재화가 안 된 장비나 자동차는 쓰지 않고 수출도 하지 못하도록 규정한다”고 말했다.
김 교수는 “국내에 향후 3년 동안 800억원 규모의 전구합동화력운용체계(JFOS-K) 사업이 시작되는 만큼 정보보호 시장에도 성장 가능성이 있다”면서 “정보보호 시장의 정체 문제를 해소하려면 보안 내재화 시장 공략이 필요하다”고 제안했다.
보안업체 대표는 “정보보호 예산을 다른 곳에다 쓰지 못하도록 정보화 예산에서 명확히 분리하고 공개해야 한다”고 강조했다.
비대면 서비스 이용률과 함께 사이버공격이 급증한 코로나19 사태 이후에도 공공과 민간 부문 정보보호 투자는 줄어들었다.
한 보안업체 대표는 “코로나19 사태 속 원격근무 등 비대면 전환으로 보안 솔루션 공급이 늘어날 것으로 기대했지만 일부 공공기관에선 긴급재난지원금 예산 등을 이유로 기존 보안 솔루션도 공급을 중단한 상황”이라면서 “정부는 보안이 중요하다고 하지만 실제로는 투자를 줄이고 있다”고 하소연했다.
오다인기자 ohdain@etnews.com