"정보보호 중요하긴한데…" 투자·인력은 찔끔
'정보보호, 투자보다는 비용이란 생각이 들어요.'
'랜섬웨어' 등 새로운 사이버 공격이 늘어나는 가운데 IT 예산 중 정보보호예산 비중이 5% 이상인 '모범기업'은 단 1.1%에 불과한 것으로 조사됐다. 정보보호에 쓰이는 돈을 여전히 '투자'보다는 '비용'으로 여기고 있는 기업들의 인식 개선이 필요하다는 지적이 나온다. 아울러 4차 산업혁명을 주도하는 사물인터넷(IoT) 등 신규 서비스에 대한 보안 취약점을 해결해야 한다는 목소리도 높아지고 있다.
◆정보보호 인식은 늘었지만 투자는 여전히 '미흡'
23일 미래창조과학부는 이 같은 내용이 담긴 '2016 정보보호실태조사 결과'를 발표했다. 정보보호실태조사는 미래부가 한국인터넷진흥원(KISA)에 의뢰해 매년 실시하고 있다. 이번 조사는 종사자 1인 이상 9000여개 기업과 개인 4000명을 대상으로 지난해 8월~10월 조사됐다.
기업부문 조사결과에 따르면, 정보보호 정책을 수립한 사업체는 17.1%로 2015년 대비 3.4%포인트 증가했다. 정보보호조직 운영(11%)과 정보보호 교육실시(18%) 등 정보보호 관련 조직 수준은 전반적으로 향상된 것으로 나타났다.
정보보호에 투자하는 기업 역시 32.5%로 전년대비 13.9%포인트 증가했다. 하지만 IT예산 중 정보보호 예산비중이 5% 이상인 기업은 전년도 수준(1.1%)로 전년과 비교해 0.3%포인트 감소해 기업의 정보보호 예산 및 인력투자 확대가 지속적으로 필요한 것으로 나타났다.
미래부 정보보호기획과 허성욱 과장은 "장기적인 투자를 하기보다는 필요최소한의 투자만 한 것으로 보인다"며 "보안을 비용으로 인식하는 것에 대한 어려움이 증명된 것"이라고 지적했다.
조사결과, 정보보호활동의 주된 애로사항으로는 예산확보(49.9%)와 정보보호 전문인력 확보(34%)가 꼽혔다.
◆랜섬웨어 등 정교해진 사이버공격…AI·IoT도 보안 취약
보안 침해사고를 경험한 기업 중 랜섬웨어로 피해를 입은 곳의 비율이 1년새 11배 가까이 늘어난 18.7%를 기록해 신종 사이버공격에 대비해야 한다는 지적도 이어졌다.
랜섬웨어란 이메일 등을 통해 컴퓨터 시스템에 침투한 뒤 원래 사용자가 데이터를 사용할 수 없도록 암호화하는 악성코드다.
허성욱 과장은 "정보보호에 대해 장기적인 관점을 가지고 투자를 한다고 생각해야 한다"며 "보안으로 인한 기업들의 피해를 최소화하기 위해 정보보호 공시제도나 사이버 보험제도를 검토하고 있다"고 말했다.
공시제도는 기업들이 자사 정보보호 예산과 비율, 인력, 정보보호 활동들을 자율적으로 공시하는 제도다. 정부는 정보보호에 규제를 가하기보다는 이러한 제도들을 통해 기업이 자율적으로 정보보호를 강화하도록 유도할 방침이다.
4차 산업혁명을 이끌 인공지능(AI), 사물인터넷(IoT) 기기를 악용하는 사례도 늘어날 전망이다.
실제로 지난해 10월 미국에서는 IoT 기기 10만여 대를 활용한 디도스 공격이 일어나 트위터·페이팔·넷플릭스 등 웹사이트 80여 곳이 장애 피해를 입었다.
KISA 사이버침해대응본부의 전길수 본부장은 "IoT 기기는 크기가 작고 성능이 떨어질 뿐, 운영체제(OS)를 갖춘 일종의 PC"라며 "IoT 기기는 처음부터 보안이 고려되지 않는 경우도 있기 때문에 상대적으로 취약한 부분이 있다"고 말했다.
전문가들은 IoT 보안과 관련, 기술적으로 암호 기술을 적용하거나 OS 자체를 강력하게 만드는 방법으로 접근해야 한다고 입을 모았다.
미래부 송정수 정보보호정책관은 "4차 산업혁명을 이끌어갈 IoT, 빅데이터, 클라우드 등 신규 서비스에서의 정보유출, 개인정보침해 등이 미래위협으로 꼽혔는데, 구축단계부터 보안을 탑재하는 '보안내재화' 등 다양한 대책이 중요하다"며 "IT예산 중 정보보호예산 비중이 5%이상인 기업은 여전히 1% 수준으로 저조해 기업의 투자 활성화를 위한 조치를 더욱 가속화할 필요가 있다"고 말했다.
