"기술전쟁 시대 정보보호 투자 0원"… `보안` 손놓은 기업들

기업 40.9% 작년 보안투자 축소
삼성 등 상위권과 격차 더 벌어져
사고 발생땐 기업 존폐 위기 심각
"근본적이고 전향적인 대책 필요"

기술전쟁이 격화되면서 보안의 중요성이 갈수록 커지고 있지만 국내 기업들은 경기위축을 이유로 기본적인 보안투자마저 미루고 있다. 2023년 정보보호 공시에서 작년 정보보호 투자액을 공개한 기업 중 40.9%가 2021년보다 보안투자를 줄인 것으로 확인됐다. 보안을 투자가 아닌 비용으로 보는 인식이 여전한 가운데, 자칫 한번의 사고가 엄청난 경제적 피해나 기업의 존폐 위기로 이어질 수 있다는 점에서 심각성이 크다는 지적이 제기된다.

16일 KISA(한국인터넷진흥원) 정보보호공시 종합포털에 따르면, 국내 주요 기업 715곳의 지난해 정보보호 투자액은 약 1조8639억원으로 이들의 전체 IT(정보기술) 투자에서 약 6.2%의 비중을 기록했다.

이 가운데 글로벌 본사에서 정보보호 업무를 맡는 한국지사 등 13곳을 제외한 702곳 중 83.6%(587곳)가 전체 평균 투자액인 약 26억5506만원에 못 미치는 것으로 나타나 양극화가 여전히 심한 것으로 나타났다.

정보보호 공시제도는 정보보호산업법 제13조에 따라 기업의 정보보호 투자·인력·인증 등 현황을 공개하는 제도다. CISO(정보보호최고책임자) 의무지정 대상 중 매출 3000억원 이상 상장사, 일평균 이용자 수 100만명 이상 정보통신서비스 사업자, ISP(기간통신사업자), IDC(집적정보통신시설), CSP(클라우드서비스제공사), 상급종합병원 등이 의무 공시 대상이다. 지난달 마감한 2023년 공시에선 작년보다 55곳 늘어난 총 652곳이 해당됐다. 이 중 크리테오 한 곳만 자료를 제출하지 않았다. 이밖에 64곳이 자율적으로 정보보호 현황을 공시했다.

의무·자율 공시 기업을 통틀어 2년 연속으로 정보보호 현황을 공개한 곳은 623곳이다. 이들의 정보보호 투자액 합계는 1조7062억원으로 2021년보다 약 12.7% 늘어났다.

하지만 삼성전자(41.8%↑), 쿠팡(19.5%↑), 삼성SDS(266%↑), LG유플러스(51.6%↑), 네이버(18.6%↑) 등 투자액 상위권 기업들이 투자를 크게 늘린 게 포함되다 보니 통계 왜곡이 있다. 전체 기업 중 40.9%는 작년보다 정보보호 투자액을 줄였다.

이들 기업 중 작년 기준 정보보호 인력이 2021년보다 증가한 곳은 41.8%, 동일한 곳은 36.4%, 감소한 곳은 21.9%로 나타났다. IT인력 가운데 정보보호 인력의 비중은 6.4%로 전년보다 0.4%포인트 줄었다.

2023년 공시에서 일진전기와 제이에스코퍼레이션은 0원을, 네이블커뮤니케이션즈는 1원을 정보보호 투자액으로 공시했다. 동일고무벨트도 모회사(디알비동일)에 관련 업무를 맡긴다는 이유로 0원을 기재했다. 반면 삼성전자(약 2435억원), KT(약 1035억원), 쿠팡(약 639억원), SK하이닉스(약 590억원), SK텔레콤(약 550억원) 등은 보안에 대규모 투자를 단행했다.

최근 글로벌 주요 국과 기업들은 안팎에서 아무도 믿어서는 안 된다는 것을 전제로 전략을 수립하는 '제로트러스트 보안'을 중심으로 보안 체계를 바꾸고 있다. 과기정통부도 이달 초 제로트러스트 가이드라인을 처음 마련하고 민관 협업을 모색하고 있다. 넷마블 등이 참여한 실증사업도 추진하고 있다. 엔씨소프트 등 일부 기업은 제로트러스트 보안을 선도적으로 도입하고 있다.

그러나 대부분의 기업, 특히 규모가 작은 중소기업에 제로트러스트 보안은 남의 일이고, 기본적인 보안 투자마저 손놓고 있는 경우가 많다. 이런 상황이 계속되면 보안의 양극화가 심해지고, 기업의 공급망 중 한 곳의 보안 취약성이 다른 기업으로 전파될 위험도 크다. 국내의 보안투자 위축은 기업만의 문제가 아니다.

공공부문의 올해 정보보호 관련 제품·서비스 구매 예산은 작년보다 9.9% 줄었다. 정보보호 투자와 인력이 뒷받침되지 않는다면 사이버안보는 애초에 불가능한 일이다.

정보보호 업계 한 관계자는 "최근 들어 경기침체 영향으로 기업들이 보안투자를 미루거나 줄이는 곳들이 많다. 특히 중견·중소기업은 보안을 투자가 아니라 비용으로 인식해 아예 손놓고 있는 곳들도 있다"면서 "사이버위협이 고도화되면서 한 기업의 문제가 공급망 전체를 위험에 빠뜨릴 수 있는 만큼 근본적이고 전향적인 대책이 필요한 상황"이라고 말했다.

팽동현기자 dhp@dt.co.kr

<주요 기업 2022년 정보보호 투자규모>

삼성전자(약 2435억원), KT(약 1035억원), 쿠팡(약 639억원), SK하이닉스(약 590억원), SK텔레콤(약 550억원)

<자료: KISA 정보보호 공시 종합포털>