“정부가 '범부처 정보보호 종합대책'을 내놨지만, 예산에 반영되는지 잘 따져봐야 합니다.”
최근 만난 정보보호산업계 관계자의 얘기다. 통상 4월부터 정부 예산을 편성하고 이미 내년도 예산안이 짜졌는데 10월 중순 넘어 나온 종합대책이 반영될 리가 없다는 것이다.
더욱이 이번 범부처 종합대책엔 과학기술정보통신부·국가정보원·개인정보보호위원회·금융위원회·행정안전부 등이 참여했지만 기획재정부는 보이지 않았고, 기재부의 중기재정계획에 관련 내용을 담는다 해도 2027년 이후에나 예산에 반영될 수 있다는 우려도 내비쳤다.
정부 정책은 예산으로 말한다. 예산이 어디로 흘러가는지가 바로미터다. 공공부문에서도 실천되지 않는 '정보보호 제품의 제값받기' 현실을 보면 정보보호산업 육성 의지가 있는지 의문이다. 제값받기, 즉 적정 대가 지급은 결국 예산 확보와 직결되기 때문이다.
공공부문의 유지관리 요율(개발비 대비 유지관리 비용의 비율)은 6~8%로 글로벌 보안 기업(약 20%)과 비교해 턱없이 낮다. 정보보호 제품은 일반 소프트웨어와 달리 적시 업데이트 등 보안성 지속 서비스가 필요한데 현장에선 제대로 된 대가를 받지 못한다. 연구·개발(R&D) 등 투자할 여력은 고사하고 말 그대로 '유지' 수준에 머무를 수밖에 없다. 업계에선 공공이 정보보호 제품을 가장 저렴하게 사용한다는 볼멘소리가 나온다.
사이버위기경보 상황을 봐도 그렇다. 경계 이상 경보 발령 시 보안관제업체는 추가 인력을 투입하고 기존 인력은 업무 연장을 지원하는데 이때 드는 비용은 전적으로 기업이 부담한다. 정부 부처와 기관은 편성된 예산의 한계를 내세워 제값을 주지 못하고 있다.
갈수록 사이버 위협이 고도화하면서 정보보호산업 중요성은 더 커지고 있다. 정부는 '보안은 비용이 아니라 투자'로 인식해야 한다고 민간에 말한다. 정부가 먼저 적정 대가 지급 문화를 정착시켜야 한다.
조재학 기자 2jh@etnews.com
![[AI의 종목 이야기] 백악관, 엔비디아 AI칩 중국 수출 제한 법안 저지, 업계 영향은](https://img.newspim.com/etc/portfolio/pc_portfolio.jpg)
