“1억원 아끼려다 30억 뜯겼다” 설마 했는데…마침내 드러난 ‘충격’ 실상

해당 사진은 기사 본문과 관계없습니다. [123RF]

[헤럴드경제=고재우 기자] “첫 번째 해커 10억원, 두 번째 해커 10억원, 세 번째 해커 10억원…그런데 컨설팅 비용을 아까워해요.”

이호석 SK쉴더스 EQST 랩팀 팀장은 기업들의 정보보호 ‘투자’에 대한 인식을 설명하며 이처럼 아쉬움을 나타냈다.

‘랜섬웨어’로 해커들의 대상이 된 A 기업은 첫 번째 해커의 요구를 들어준 후, 또 다른 해커들의 집중 타깃이 됐다. 두 번째 해커에게 다시 10억원을 지급하고 나니, 세 번째 해커가 나타나 10억원을 또 요구했다.

이윽고 네 번째 해커까지 등장하자 더 이상 참지 못하고 보안업체를 찾았다. 그러나 A 기업은 컨설팅 비용 1억원에 대해 난색을 보였다. 해커에게 30억원을 지급하면서도 정작 사이버보안에 1억원을 투자하는 것은 망설인 것이다.

비단 A 기업뿐만이 아니다. 국내 기업들이 사이버보안에 대한 ‘중요성’은 인지하고 있으나, 정작 ‘투자’에 대한 필요성 인식은 여전히 부족한 것으로 나타났다.

16일 시스코가 공개한 ‘2025 시스코 사이버 보안 준비 지수(응답 국내 기업 200곳)’에 따르면 응답 국내 기업 93%가 ‘IT 인프라 업그레이드를 계획하고 있다’고 밝혔다.

반면 ‘사이버보안에 IT 예산 10% 이상을 할당했다’고 답한 기업은 33% 불과했다. 이는 전년 대비 7% 감소한 수치다.

시스코는 “위협이 줄어들지 않는 상황에서 포괄적 방어 전략에 대한 집중 투자 필요성이 더욱 두드러지고 있다”고 평가했다.

SK쉴더스 시큐디움 센터 내 관제센터 모습. 직원 전면에 위치한 대시보드에 지난 일주일간 사이버공격 현황이 표시돼 있다. [SK쉴더스 제공]

다른 통계 역시 상황은 유사하다. 과학기술정보통신부가 정보보호산업협회와 함께 실시한 ‘2025년 정보보호 실태조사’ 결과에 따르면, 조사 대상 중 정보보호 예산을 실제로 사용하는 기업은 54.8%에 그쳤다.

그나마 투입된 예산도 제품 유지보수(78.0%), 폐쇄회로(CC)TV 설치·증설(57.4%) 등 기초 영역에 그쳤다.

정보보호 전담 조직을 갖춘 기업은 35.3%에 불과했고 기업 규모가 작을수록 교육 실시율이 낮았다.

침해 대응 능력 역시 한계를 드러냈다. 기업의 침해사고 경험률은 0.2%로 낮았지만, 7.5%는 침해 여부 자체를 인지하지 못했다고 답했다.

최근 AI 보안 위협까지 고조된 만큼, 기업의 인식 개선이 시급하다는 지적이다. 앤트로픽이 개발한 인공지능(AI) 모델 ‘미토스’가 보안 취약점을 찾아내고, 시스템 공격까지 수행할 수 있다는 사실이 알려지면서 세계 각국 사이버보안에 초비상이 걸렸다.

특히 업계에서는 2~3년 전부터 AI를 통한 사이버공격 혹은 방어 가능성에 대한 논의가 지속적으로 이어져 오고 있음에도, 기업들이 사이버보안 투자에는 소극적이란 비판이 꾸준히 제기돼 왔다.

이 팀장은 “랜섬웨어로 해커들에게 한번 돈을 뜯기게 되면, 연이어 해커들의 표적이 될 수밖에 없다”며 “네 번째 해커에게까지 협박받고서야 찾아온 기업인데, 컨설팅 비용 1억원에 난색을 보여서 당황스러웠다”고 말했다.