#국내 한 중견 건설사는 올 상반기 정례 정보보호 공시에서 회사 내에 정보보호 전담인력이 ‘제로’이면서 유일한 보안 관계자인 최고정보보호책임자(CISO)의 활동 역시 ‘없다’고 발표했다. 명목상 CISO가 있지만, 사이버 보안을 위한 노력과 활동은 전무한 셈이다.
#지방의 한 금융기관은 CISO를 비롯한 총 13명 가량의 인력이 정보보호활동을 하고 있다고 보고했다. 다만 이 곳은 회사의 연간 주요 정보보호 활동 내역을 ‘정보보호 교육 참석’이라고 보고했다.
해킹 위협이 국내 산업 경쟁력을 저해하는 수준으로 치닫고 있지만 기업 실무 현장에서 보안 업무는 뒷전으로 밀려나고 있다. 겉보기로는 법과 정부 지침을 따르고 있지만 실제 보안 활동은 잠잠한 ‘실질적 무관심’ 상태라는 평가가 나온다. 정보보안 업계에서는 사실상 최고경영자급(C레벨)이 직접 CISO로서 보안업무를 지휘하는 수준의 기업 문화가 정착되지 않는 한 한국이 ‘글로벌 해커들의 놀이터’ 처지에서 벗어나기 어려울 것이라고 경고하고 있다.
3일 한국인터넷진흥원(KISA)의 정보보호공시종합포털에 따르면 올해 정보보호 활동을 공시한 기업의 상당수는 CISO의 연간 주요 활동 건수를 ‘제로’로 보고했다. KISA에 따르면 ‘CISO 활동 건수’는 채용이나 투자 등 단순 수치로 드러나지 않는 정성적 활동이나 대내외 업무를 일컫는다, 업계 관계자는 “제도 변화에 맞춰 CISO를 임명하긴 했지만 사이버 보안에 대한 인식과 실행력은 따라가지 못하는 현실을 보여주는 사례”라며 “일부 대기업이나 금융기업을 제외하면 국내 기업의 사이버 위협에 대한 인식은 한참 멀었다”고 꼬집었다.
사이버 보안에 대한 인식 부족은 반복적인 사고 원인으로 꼽힌다. 보안 업체의 또다른 한 관계자는 “국내 굴지의 한 대기업 협력 업체는 해킹이 발생했을 때 신고 후 대책을 마련하기 보다 단순히 공장을 멈추고 컴퓨터를 포맷하면 해결된다고 봤다”며 “실제로는 해커의 침해 경로나 취약점이 파악되지도, 보완되지도 않았기 때문에 상황은 그대로인 것이고, 결국 이 기업은 3년 간 세번의 해킹을 당하고서야 적극적인 대처에 나섰다”고 전했다.
이같은 기업들의 인식 부족에 따라 현재 국내 산업계의 사이버 위협이 과소평가되고 있다는 지적도 나온다. 해킹을 신고하지 않고 넘어가거나 해커와 대가를 지급하고 쉬쉬하기 때문에 피해가 제대로 드러나지 않고 있다는 것이다. 실제로 과학기술정보통신부에 따르면 침해사고 경험한 기업 중 별다른 활동을 수행하지 않았다는 비율이 67.7%에 이르렀다. 이성엽 고려대 기술경영전문대학원 교수는 “정보보안을 회사의 성장을 제한하는 요인으로 보거나 불필요한 비용이라고 보는 인식이 많기 때문”이라며 “CISO가 입장을 펼칠수록 최고경영자(CEO)를 견제하는 것처럼 비춰지는 구도이기 때문에 역할이 클 수 없고, 보안이 제대로 이뤄지지 않는 악순환에 빠지는 것”이라고 짚었다.
해외에서는 한국 산업계의 사이버 보안 인식을 높일 수 있도록 일원화한 정책 기관을 설립해야 한다는 지적도 나온다. 최근 에스토니아 민간 싱크탱크인 전자정부 아카데미(eGA)가 집계한 국가 사이버보안 지수에서 한국은 83.33점으로 125개 국가 중 30위를 기록했다. 한국이 뛰어난 정보기술(IT) 활용능력과 산업 경쟁력을 갖추고 있다는 점을 고려하면 상대적으로 낮은 평가다.
eGA는 한국에 국가 차원의 사이버보안 인식 제고 활동을 주도하는 기관이 없다는 점을 지적했다. 지표 점수 1위를 차지한 체코는 국가사이버정보보안청(NÚKIB)에서 사이버보안 전략뿐만 아니라 인식 제고를 위한 교육 등도 총괄하고 있다. 이 교수는 “초연결사회이자 플랫폼 비즈니스가 활성화되고 데이터의 중요성이 커지는 상황에서 데이터 유출 가능성은 항상 있다”며 “사이버 안전청 같은 통합 기관을 논의해 볼만하다”고 말했다.
업계에서는 이밖에도 △최고경영진(C-레벨) 수준의 CISO 권한 부여 △보안 투자에 대한 인센티브 제공 △CEO의 역할 확대 등을 산업계의 보안 인식 제고 방안으로 꼽고 있다. 보안업계 고위 관계자는 “AI 전환 시대에는 한 번의 사고가 기업과 사회전체의 큰 손실로 이어진다"며 "이제 기업들도 보안은 비용이 아니라 '투자-보험-리스크 관리를 통합하는 포트폴리오라는 관점을 명심해야 한다”고 촉구했다.
![기업 70%가 보안전담 인력 '0명'…"AI 전환 사상누각 될수도" [예고된 쿠팡 참사]](https://newsimg.sedaily.com/2025/12/02/2H1KP01TOT_2.jpg)
![기업 70% 보안전담 인력 ‘0명’…절반은 연봉 5000만 원 미만 [AI 프리즘*신입 직장인 뉴스]](https://newsimg.sedaily.com/2025/12/03/2H1L45KASZ_1.jpg)
![[현장에서] 개인정보 규제, 지키기 쉽게 바꿀 때](https://img.newspim.com/news/2025/12/02/2512021742570410.jpg)
![[오늘의 시선] AI시대 3년, 놓치고 있는 것들](https://img.segye.com/content/image/2023/11/28/20231128518279.jpg)
![[쿠팡 정보 유출] 매출 41조 쿠팡…기초적인 보안 관리도 실패했다](https://img.newspim.com/news/2025/12/02/251202144013170.jpg)
