[정보보호 공시 현황] 상위 10개 기업 비중 57%...정보보호 투자 쏠림현상 뚜렷

기업 627곳 총 투자액 2조285억원
삼성전자, 6939억원 전체 34% 달해
수익 많아도 보안관리 소홀 기업↑
매출 10위 기업 중 3곳만 순위권

[정보보호 공시 현황] 상위 10개 기업 비중 57%...정보보호 투자 쏠림현상 뚜렷
관련 통계자료 다운로드 정보보호 전문인력 상위 10개 기업정보보호 투자 상위 10개 기업

정보보호 공시 의무화로 국내 주요 기업의 정보보호 투자·인력 현황이 상세하게 공개됐다. 올해 627개 기업 공시 자료를 분석한 결과, 정보보호 부문에 약 2조원을 투자한 것으로 나타났다. 상위 기업 투자 쏠림 현상이 뚜렷한 가운데 매출, 업종 특성을 고려하더라도 기업간 편차가 큰 것으로 분석됐다.

올해 분석 대상 기업(627개)별 정보기술 투자 대비 정보보호(IT) 투자 비중 평균은 약 9.13%로 나타났다. 미국(23%)·영국(20%) 등 주요 선진국 대비 우리 기업의 정보기술 투자 대비 정보보호 투자 비중이 낮은 것으로 확인됐다. 기업의 적극적인 투자가 필요하다는 지적이다.

◇삼성전자, 전체 투자액 34%...상위 기업 쏠림

과학기술정보통신부는 '2022년 정보보호 공시 현황 분석보고서'를 발표했다. 정보보호 공시는 기업의 정보보호 현황을 공개하는 제도다. 정보보호 공시 종합 포털에 공개한 의무·자율공시 기업 648개의 정보보호 투자, 전담인력, 관련 활동 등 정보보호 현황을 주요 업종별로 분석했다.

분석 대상 기업의 정보보호 총 투자액은 2조285억원으로 집계됐다. 기업별 평균 정보보호 투자액은 32억원이다.

정보보호 투자액이 가장 큰 기업은 삼성전자로 나타났다. 삼성전자는 IT 부문에 총 7조2664억원을 투자했고 이 중 9.6%, 6939억원을 정보보호에 사용했다. 보안, 개인정보보호 부문에서 전방위적 투자를 단행했다.

2위는 KT로 1021억원을 투자했다. SK텔레콤은 6266억원을 투자해 3위에, 쿠팡 535억원으로 4위에 올랐다.

SK하이닉스(526억원), LG전자(55억원)가 뒤를 이었고 우리은행(406억원)은 의무 공시대상이 아닌 기업으로는 유일하게 10위권에 포함됐다. 이와 함께 현대중공업(364억원), 네이버(350억원), LG유플러스(292억원)가 10위권에 포진했다.

상위 기업의 쏠림이 뚜렷했다. 상위 10대 기업의 정보보호 투자액은 1조1514억원으로 공시 기업 전체 투자액의 56.8%를 차지했다. 특히 삼성전자 투자액만 34%에 달했다. 2위부터 10위까지 투자 총액은 4500억원으로 삼성전자에 미치지 못했다.

매출 규모와 정보보호 투자간 상관관계도 보이지 않았다. 매출 상위 10대 공시대상 기업 가운데 정보보호 투자 상위 10위에 포함된 기업은 삼성전자, SK하이닉스, LG전자 뿐이다. 한국전력, 현대차, 기아, 포스코 등 매출 기준 상위 기업 상당수가 정보보호 투자 순위에선 10위권 밖으로 밀려났다.

현대차는 현대중공업보다 IT 부문에 3배 이상 많은 3727억원을 투입했으나, 정보보호 투자는 현대중공업 절반에도 못 미치는 147억원에 불과했다.

IT 예산 대비 정보보호 투자 비중도 편차가 큰 것으로 나타났다. 삼성전자(9.6%), 우리은행(11%), 쿠팡(7.1%)은 전체 평균에 수렴한 반면에 KT(5.2%), SK텔레콤(3.66%), SK하이닉스(5.4%), 네이버(3.8%), LG유플러스(3.9%)는 평균치를 밑돌았다. LG전자(19%), 현대중공업(34.9%)은 IT 투자 대비 정보보호 투자가 비중이 높은 기업으로 분류됐다.

과기정통부 관계자는 “기업 IT 예산 규모, 전략에 따라 정보보호 투자 비중이 차이를 보일 수 있다”면서도 “다른 기업 등 투자 동향을 파악해 새 전략을 수립해야 할 기업도 있다”고 분석했다.

국내 보안컨설팅 기업 관계자는 “기업마다 보안 성숙도, 투자 현황이 달라 직접 비교가 어렵다”며 “동일 업종에서 기업간 정보보호 투자에 편차가 크다면 정보 보호에 대한 관심이 부족하다고도 볼 수 있다”고 설명했다.

[정보보호 공시 현황] 상위 10개 기업 비중 57%...정보보호 투자 쏠림현상 뚜렷

◇금융업 투자 크고 보건·건설 상대적으로 미흡

주요 7개 업종별 평균 정보보호 투자액은 금융·보험업(70억원), 정보통신업(49억원), 제조업(35억원) 순으로 나타났다. 도소매업(27억원), 운수업(16억원), 건설업(7억원)은 상대적으로 투자가 저조했다.

IT 투자 대비 정보보호 투자 비중(평균)은 금융·보험업(10.49%), 제조업(9.74%), 건설업(9.62%) 순으로 높았다.

최근 랜섬웨어를 중심으로 한 사이버 공격이 업종을 가리지 않고 심화하는 상황을 고려하면 일부 업종의 인식 전환이 시급하다는 것을 시사한다.

랜섬웨어 감염사례는 과거, 피해가 크지 않던 업종에서 빈번하게 발생하고 있다. 택시, 물류, 병원, 건물관리 등 광범위한 분야에서 디지털전환이 이뤄지면서 서비스 마비 등을 노리는 공격이 급증했다. 이런 상황에서 관련 분야 보안 투자가 여전히 과거 수준에 머물고 있다는 것이 이번 조사를 통해 드러났다.

보안 대기업 관계자는 “병원과 건설 등 분야는 전통적으로 보안에 대한 투자, 인식이 부족한 곳”이라며 “현황이 파악된 만큼 기업의 보안 전략을 처음부터 다시 수립할 때”라고 조언했다.

이형택 한국랜섬웨어침해대응센터장은 “사이버 공격이 보안 투자가 적어 대응이 부족한 곳을 대상으로 발생하고 있다”며 “업종을 떠나 디지털전환이 이뤄지는 모든 업종에서 차별화한 보안 대응이 이뤄져야 한다”고 강조했다.


연도별 정보보호 공시 이행 현황

[정보보호 공시 현황] 상위 10개 기업 비중 57%...정보보호 투자 쏠림현상 뚜렷


최호기자 snoop@etnews.com