[발언대] 보안 투자는 선택 아닌 필수

올해는 유난히도 굵직굵직한 보안사고가 많다. 현대캐피탈∙농협에 이어 이번에는 네이트에서 대형사고가 났다. 이에 언론은 기업 내 보안인력이 부족하고 외주에 의존하는 비중이 높기 때문이라는 진단을 내놓고 있다. 그러나 업계종사자로서 필자는 그 진단에 동의할 수 없다. 실제 선진기업들도 외부 전문기업들에 아웃소싱 형식으로 다양하고 전문적인 서비스를 제공받고 있다. 오히려 전문기업들을 키워서 보안서비스의 역량을 배가시켜야 한다. 문제는 기업들의 안전불감증이다. 한때 건물∙다리 등이 붕괴되는 대형사고들을 겪으며 우리나라 특유의 '안전불감증'이 자주 거론되고는 했다. 이처럼 물리적 사고뿐 아니라 최근의 보안사고도 근저에는 같은 의식이 깔려 있다. 그러다 보니 보안에 대한 투자는 항상 뒷전으로 밀린다. 정보기술(IT) 예산을 수립하면 의례 경영진은 삭감을 요구하는데 서비스나 운영 업무와 관련된 IT 투자는 삭감하기 어렵다 보니 당장 급하지 않은 보안 예산을 깎기 마련이다. 심지어는 처리량이나 업무환경이 크게 바뀌었음에도 불구하고 10년 지난 보안제품을 업그레이드하지 않고 아슬아슬한 상태로 그냥 쓰는 경우도 비일비재하다. 관련 기관에 의하면 전체 IT 예산에서 보안 관련 투자가 차지하는 비중을 보면 선진 금융기업들의 경우 8~10%에 달하는 반면 우리나라는 약 3.4%에 불과하다. 보안은 보험과 같은 것이다. 당장은 필요 없는 지출 같지만 사고가 발생했을 때 기업에 미치는 타격을 생각하면 결코 생략해서는 안 되는 필수비용이다. 특히 요즘같이 스마트폰∙태블PC∙클라우드 등으로 다양한 유무선 서비스가 경쟁적으로 출시되는 상황에서는 보안상의 허점이 늘어날 개연성은 높아지고 반면에 보안에 대한 검토와 대비는 소홀해질 가능성이 높다. 필자는 금융과 통신 같은 사회적 파급이 큰 기업들에 대해서는 보안투자에 대한 어느 정도의 의무화가 필요하다고 본다. 자동차보험이 개인뿐 아니라 사회적으로도 꼭 필요한 것이지만 개인의 선택에 맡기면 미가입차량이 늘어나는 것과 같은 이치다.