[IT보안을 다시 본다] <중> 국내기업의 후진적 마인드

"당장 눈에 보이는 성과 미미" 쥐꼬리 투자
美기업은 예산 10% 쓰는데 국내선 1%도 안돼
최고정보책임자·전담부서 없는 곳도 대다수
시장 정체로 보안기업 수익성 저조 악순환


씨티그룹, 나스닥, CIA…. 최근 1년 사이 미국에서 해킹 피해를 입은 기업ㆍ기관들이다. 미국뿐만 아니라 전세계 각국이 일상적으로 해킹을 방어해야 하는 시대다. 하지만 평소에 얼마나 이 같은 사고를 대비하는지 살펴보면 차이가 크다. 정보기술(IT) 보안을 위한 투자액수나 정부ㆍ민간영역의 예방ㆍ대응책을 들여다보면 그 간격은 더욱 두드러진다. 업계에 따르면 미국 기업들의 경우 전체 IT 예산의 10% 가량을 보안에 투입하는 게 일반적이다. 반면 한국인터넷진흥원(KISA)에 따르면 정보보안에 투자하는 국내 기업의 절반은 전체 IT 예산의 1%에도 못 미치는 수준의 투자를 하고 있는 것으로 나타났다. 가장 민감해야 할 금융사들조차도 전체 IT 예산의 3~4% 정도만 보안을 위해 쓰고 있다. 심지어 국내기업 가운데 정보보호에 전혀 투자하지 않는 기업이 전체의 63.5%에 달한다. 보안 전문가들은 국내 기업들이 과거 수차례 보안 사고를 겪거나 목격하고도 정보보안에 투자하지 않는 점을 가장 큰 문제로 꼽는다. 국가 전체의 보안 시장 규모로 보면 이 격차는 더 벌어진다. 미국의 보안 컨설팅 업체인 포니먼은 올해 미국의 보안시장 규모가 1,300억 달러(약 142조원)에 달할 것으로 전망했다. 이는 지난해 우리나라의 전체 보안 시장 규모인 1조1,300억원보다 140배나 많다. 미국과의 경제력 차이를 감안해봐도 지나치다고 할 만한 격차다. 일본의 경우에도 지난해 일본의 보안 시장 규모가 7조원대에 달하는 것으로 집계됐다. 우리나라보다 6배가 크다. 김홍선 안철수연구소 대표는 "국내 기업들은 당장 눈에 보이는 성과가 나지 않는다는 이유로 보안에 투자하길 꺼린다"고 지적했다. 의무적으로 일정 수준의 보안 수준을 유지하도록 하는 제도의 측면에서도 차이가 난다. 미 국토안보부는 다양한 소프트웨어의 보안 점수를 매겨 매년 발표하는 '톱(Top)25 리스트'를 제도적으로 정착시켰다. 기업들은 이 순위를 참고해 업무용 소프트웨어를 선택할 수 있다. 우리나라의 경우 어떤 소프트웨어가 보안에 취약한지는 업계 전문가들만 안다. 정보보안 업무를 담당하는 전문 인력에 대한 필요와 인식이 낮다는 점도 문제다. 현재 국내 기업들 중엔 최고정보관리책임자(CIO)나 최고정보보호책임자(CISO)가 없는 곳이 대다수다. KISA는 지난해 국내 기업들 가운데 CIO와 CISO를 임명한 경우는 각각 18.7%, 14.5%에 불과하다고 밝혔다. 미국 대기업ㆍ정부 기관의 70% 이상이 CISO를 두고 있다는 사실과 대조적이다. 정보보호 전담조직을 공식적으로 운영하고 있는 기업도 전체의 14.5% 수준으로 저조하다. 국내 기업의 80% 이상이 정보보안 관련 임원급 책임자도, 전담조직도 갖추지 않은 것이다. 염흥열 한국정보보호학회장은 "기업의 연속성을 위해서라도 정보보안 책임자의 책임과 권한을 반드시 강화해야 한다"고 지적했다. 상황이 이렇다보니 토종 보안 기업들의 성장세도 제자리걸음을 계속하는 악순환이 이어지고 있다. 세계적인 보안 업체인 시만텍의 경우 한 분기 실적이 1조원을 넘어선다. 물론 글로벌 시장을 무대로 하기 때문에 가능한 일이지만, 우리나라 보안 기업들은 해외 시장으로 눈을 돌릴 만한 여력조차 없는 형편이다. 근로자 50인 미만의 소기업이 75%로 대다수다. 토종 보안 기업 중에서는 규모가 가장 큰 안철수 연구소는 지난해를 통틀어 약 697억원의 매출을 기록하는 데 그쳤다. 정태명 성균관대 정보통신공학부 교수는 "기업들이 얼마나 더 큰 피해를 봐야 정보보안 투자에 나설지 모르겠다"며 "정부가 나서 국내 기업들의 정보보호 시스템을 총체적으로 점검해야 한다"고 강조했다.

<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>