노경조기자
국내 기업의 정보기술(IT) 투자액 대비 정보보호 투자액 비율이 6%대에 그친 것으로 집계됐다. 특히 3370만개 계정 규모의 개인정보가 털린 쿠팡의 경우 IT 투자액 대비 정보보호 투자액 비율이 4.6%로 평균을 훨씬 밑돌면서 기업의 정보보호 투자에 대한 책임과 의무를 더욱 강화해야 한다는 목소리에 힘이 실린다.
8일 한국인터넷진흥원(KISA)에 따르면 지난해 국내 773개 공시기업의 IT 투자액 대비 정보보호 투자액 비율은 6.29%로, 전년보다 고작 0.24%포인트 증가하는 데 그쳤다. 3년째 6%대 초반에 머물고 있다. 쿠팡의 경우 이 비율이 4.6%로 평균을 밑돌면서 소극적인 정보보호 투자와 안일한 정보보호 인식이 대규모 개인정보 유출 사고를 초래했다는 지적이 나온다. 특히 현재는 기업의 정보보호 투자 비율을 강제할 법적 조항이 없는 상태라 보완이 시급하다는 분석이다.
반면, 해외 주요국들은 민·관 모두 사이버 보안을 위한 투자와 책임을 강화하고 있다. 미국은 회계감사원(GAO)에서 사이버 위협에 대응해 연방정부 예산의 10% 이상을 사이버 보안에 쓰도록 권고했다. 실제 올해 미국 연방정부의 IT 분야 예산은 750억달러(약 110조3775억원) 규모로, 이 중 17.3%에 해당하는 130억달러(약 19조1243억원))가 사이버 보안에 할당됐다.
유럽은 지난해 10월부터 '네트워크 및 정보시스템 보안2'(NIS2) 지침을 시행했다. 적용 산업은 에너지, 교통, 의료, 제조업, 공공행정, 폐기물 관리 등 18개 분야다. 공급망 보안을 의무사항으로 해 기업이 협력업체와 벤더 등 거래처의 보안 수준까지 관리하도록 했다. 또 중대한 사이버 사고가 발생하거나 법 위반 시 최고경영자(CEO)가 책임을 지도록 했다. 일반개인정보보호법(GDPR)도 있다. 고객 정보 사용 시 72시간 이내에 감독기관에 알려야 하고, 위반 시 글로벌 매출액의 4%와 2000만유로(약 342억5640만원) 중 큰 금액을 내야 한다. 이는 유럽연합(EU)에 법인·지점을 둔 외국 기업에도 적용된다.
미국이나 일본, 유럽은 사이버 보안을 곧 국가 안보로 여기고 강화해 나가는 데 반해 우리나라는 대응체계 부재 속에 기업들이 보안을 비용으로 인식하면서 투자에 소극적인 상황이다.
이상근 고려대 정보보호대학원 교수는 "한국은 망 분리 정책으로 보안에 문제가 없을 것이라고 막연하게 생각하는 거짓 안도감 속에 살고 있다"며 "고객들이 우리 회사(및 제품)에 대해 신뢰가 없으면 아무도 쓰지 않을 것이란 위기의식이 필요하다"고 말했다. 이어 "개인정보 유출 사고는 기업의 안일한 정보보호 인식과 정부의 대응 체계 부재에서 비롯된 것"이라며 "글로벌 인공지능(AI) 3강이 되려면 보안 역시 그 수준이 돼야 한다. 보안에 대한 인식 전환과 규제가 필요하다"고 덧붙였다.
개인정보보호위원회는 대규모 개인정보 처리자를 중심으로 보안 투자를 의무화한다는 계획이다. 2027년까지 기업·기관의 정보보호 투자 비중을 IT 예산의 10%까지 늘리는 방안을 검토 중이다. 2030년까지 15%로 확대한다. 나아가 과징금을 국고로만 귀속하지 않고, 피해자 구제에 활용하는 '개인정보 피해 구제 기금' 도입도 추진한다. 아울러 범부처 차원에서 공공의 정보보호 예산을 내년 1분기부터 정보화 대비 일정 수준 이상으로 확보하는 등 국가 전반의 정보보호 역량 강화에 나선다.
이와 관련해 투자에 상대적으로 취약한 중소·중견기업에 대해서는 지원을 고려해야 한다는 의견도 나온다. 강은수 국회입법조사처 조사관은 최근 발간한 '정보보호 사각지대 해소를 위한 중소기업 보안역량 강화방안' 보고서에서 "중소기업이 산업 생태계 전반과 연결돼 있어 보안 사각지대 해소를 위해 예산·법제·세제 측면에서의 종합적 보완이 필요하다"고 말했다.