SK텔레콤의 가입자 유심정보 해킹 사건으로 기업의 정보보안 투자 확대를 요구하는 목소리가 커지고 있지만 대부분 기업들이 관련 투자에 인색한 것으로 나타났다.

특히 최근 3년간 정보보호에 1000억원 이상을 투자한 기업은 10곳에 불과했으며 주요 기업의 연평균 정보보호 투자액은 SK텔레콤의 3% 수준인 30억원에도 미치지 못하는 것으로 조사됐다.

26일 업계와 한국인터넷진흥원(KISA) 정보보호공시 종합포털 등에 따르면, 최근 3년간 정보보호에 누적 1000억원 이상 투자한 국내 기업은 총 10곳이다.

정보보호 투자액 공시 의무화가 시행된 2022년(2021년 사업 실적 기준) 이후 정보보호에 가장 많은 금액을 투자한 기업은 삼성전자로 2023년 2974억원을 투자하는 등 최근 3년간 총 7126억원을 투입했다.

2위는 3년간 총 3274억원을 정보보호 분야에 투입한 KT였으며 최근 해킹 사태가 벌어진 SK텔레콤(SK브로드밴드 포함)은 유·무선 사업영역에서 최근 3년간 총 2515억원을 투자했다.

이어 쿠팡(1834억원), SK하이닉스(1743억원), LG유플러스(1366억원), 삼성SDS(1307억원), 우리은행(1246억원), 네이버(1183억원), LG전자(1170억 원) 순으로 집계됐다.

정보보호 의무 공시는 회선 설비를 보유한 기간통신사업자 및 매출액 3000억원 이상 상장사에 정보보호 투자 금액과 인력 등을 알리도록 한 제도로 2022년부터 시행됐다.

2024년(2023년 실적 기준)에는 655개 기업이 공시 의무 대상이었으며, 자율 공시한 91개 기업까지 총 746개 기업이 투자액을 공개했다.

자료를 공개한 기업 전체의 2023년 정보보호 투자액은 총 2조1196억원으로, 전체 정보보호 투자액을 공시기업 수로 나눈 평균 정보보호 투자액은 2021년 23억원에서 2023년 29억원으로 24.5% 늘었다.

투자금액이 늘어나고 있지만 갈수록 교묘해지는 해킹 수법을 고려하면 턱없이 부족하다는 평가가 많다.

한 IT 전문가는 "국내 대다수 기업이 고도화된 해킹에 훨씬 더 취약하고 일부는 모르는 사이 이미 공격당했을 가능성도 있으므로 경각심을 가지고 철저히 점검해야 한다"고 말했다.

이에 따라 일각에서는 기업들의 정보보호 투자를 법으로 강제해야 한다는 주장도 제기된다.

이와 관련 최근 국회입법조사처는 ‘이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안’ 보고서에서 이동통신사의 정보보호 투자 확대를 유도하기 위해 정보통신망법을 개정, 정보보호 예산이 정보기술 부문 예산의 일정 비율 이상이 되도록 노력할 의무를 명시해야 한다고 밝혔다.

입법조사처는 SK텔레콤 해킹 사고는 자율보안의 한계를 드러낸 것이라고 지적하면서 금융권과 별개로 정보통신망법에 정보보호 예산의 최소 투자 비율을 제도적으로 명시할 필요가 있다고 강조했다.

입법조사처는 또 정보통신망법을 개정해 강화된 인증 기준을 적용하고 중대한 법령을 위반하면 인증을 취소할 수 있는 근거와 과징금 부과 근거를 마련해야 한다고 제안했다. 동시에 매년 1회 이상 실시하는 인증기관의 사후심사 시 현장심사를 강화할 필요가 있다고 덧붙였다.