정보보호공시 들여다보니… 보안 투자 비중 평균 6%대 머물러
"사이버 보안, 기업 존망 결정할 핵심… 인센티브 제도 등 필요"
[미디어펜=배소현 기자] 최근 전 세계적으로 중국과 북한 등의 사이버 공격이 갈수록 고도화하는 모습을 보이는 가운데, 국내 주요 정보통신 기업들의 정보보호(보안)에 대한 의식 수준은 상대적으로 낮은 수준에 머물러 있는 것으로 나타났다.
최근 SKT의 유심 유출 사태 등 직접적인 피해 사례가 속출한 만큼, 기업 전반의 보안 인식 수준 향상을 위해 정부 차원의 지원책이 필요하다는 목소리가 나온다.
◆ 보안 투자 비중 대부분 한 자릿수 머물러..."보안 인식 높여야"
2일 한국인터넷진흥원(KISA) 정보보호공시에 따르면, 올해 공시를 기준으로 통신3사의 보안 부문 투자액은 SK텔레콤(SK브로드밴드 포함)은 약 933억 원, KT 약 1250억 원, LG유플러스 약 828억 원 수준이다.
IT(정보기술) 투자 대비 비중으로 봤을 때는 SK텔레콤 4.4%, KT가 6.3%, LG유플러스 7.4%로 집계됐다. 통신3사 모두 보안 투자 비용이 5%대 전후에 그쳤다.
IT 서비스 기업의 경우 삼성SDS가 지난해 보안에 약 652억 원을 투자했다. 이어 LG CNS는 같은 기간 약 274억 원을 투입했다.
이는 IT 투자 대비 각각 11.8%(삼성SDS), 6.39%(LG CNS)를 보안에 투입한 것이다. 삼성SDS는 지난해 뿐만 아니라 최근 3년 간 전체 IT 투자 중 보안 부문 투자 비중이 두 자릿수인 유일한 기업으로 파악됐다.
이밖에 주요 IT 기업인 네이버는 지난해 정보보호에 553억 원을 지출해 IT 투자 대비 4.5%를 보안에 투자한 것으로 확인됐다. 또 카카오의 지난해 보안 투자액은 247억 원으로, 이는 IT 투자액 대비 3.5% 수준에 불과했다.
네이버와 카카오의 IT 투자 대비 보안 부문 투자 비중은 전체 정보보호 공시 기업의 평균치인 6.1%(2023년 기준)과 비교해도 2~3%p 모자란 수준이다. 각 사별로 IT 투자액이 다른 만큼 전체 보안 투자액이 다를 수는 있지만, 기업별 보안 의식을 살펴볼 수 있는 지표의 일부로 볼 수 있다.
이 같이 정보보호 투자 비용이 비교적 낮은 수준에 머무른 이유로는 업계에 만연한 안일한 보안 인식이 꼽힌다.
염흥렬 순천향대학교 정보보호학과 교수는 "기업들의 IT 투자 대비 보안 투자 비중이 낮고 또 기업별 편차도 다소 큰 것은 사실"이라며 "이는 기업 전반적으로 보안에 대한 관심이 비교적 낮은 것이라고 볼 수 있다"고 말했다.
◆ 커지는 글로벌 해킹 위협...국내 기업 역량 부족 우려
글로벌 보안업체 트렌드마이크로 등의 분석에 따르면 중국 해커조직 '레드 멘션(Red Menshen)'이 이 BPF도어를 활용해 한국, 홍콩, 미얀마, 말레이시아, 이집트 등 아시아•중동 지역의 통신, 금융, 유통 산업을 대상으로 사이버 스파이 활동을 벌이고 있다.
한국 역시 해킹 위협 대상국이다. 전문가들은 한국이 미국의 최우호국이며, IT 데이터도 많이 보유한 만큼 공격을 받기 좋은 환경이라고 분석한다. 이는 미국과의 동맹, 지역 안보 등에서 한국이 핵심적인 역할을 담당하고 있기 때문이다.
하지만 국내 기업들의 사이버보안 부문 역량은 우려되는 수준에 머물러 있다. 스위스 국제경영개발대학원(IMD)이 최근 발표한 국가경쟁력 평가 중 사이버보안 부문에서 한국은 40위에 머물렀다. 2023년 24위에서 지난해 순위가 추락했다. 이 같은 결과의 주요 배경으로는 기업의 보안 투자 부족이 꼽힌다.
실제 기업 내 사이버보안 전담인력 또한 부족하다. 과학기술정보통신부가 발표한 ‘2024 사이버보안 인력수급 실태조사’를 살펴보면, 국내 기업의 사이버보안 인력 중 보안 업무를 전담하는 이는 10명 중 3명에 못 미쳤다.
보안 업무를 전담하는 인력이 있는 기업은 28.4%에 불과했고, 다른 업무와 보완 업무를 겸업하는 기업은 63.8%, 외부 인력을 사용하는 경우가 7.8%였다. 보안 관련 고위험 산업인 정보통신업 내에서도 보안 업무만 담당하는 인력이 있는 경우는 53%로 절반 수준에 그쳤다.
외국 사례에 비해 우리 기업은 보안 전담 인력이 부족하고 중소기업일수록 전담 인력 배치가 어려워 보안사고에 취약할 수밖에 없다는 게 업계 관계자의 설명이다.
◆ "보안 강화 위한 정부 차원의 '당근과 채찍' 필요"
향후 사이버 보안은 기업의 존망을 결정할 핵심 요소로 여겨지는 만큼 관련 투자를 확대해야 한다는 목소리가 커지고 있다.
염흥렬 교수는 "최근 SKT 유심 해킹 사태나 예스24 랜섬웨어 해킹 사태 등을 보면 사이버 보안은 기업의 존망을 결정한다"며 "보안이 결국에는 전반적인 기업 매출에 크게 영향을 끼치는 것"이라고 말했다.
이어 그는 "조직화된 사이버 공격이 최근 가장 큰 위협 요인으로 부상한 만큼, 이를 막을 수 있는 대응책을 기업별로 구축할 필요성이 있다"며 "결국 이것은 보안에 대한 투자로부터 시작돼야 한다"고 강조했다.
아울러 보안 인식 개선과 관련한 정부 차원의 지원책도 필요하다고 밝혔다.
염 교수는 "정보보호는 기본적으로 기업이 자율적으로 투자하는 것"이라며 "기업별로 사이버 보안 리스크가 크다고 생각하는 기업들은 (보안에) 많이 투자할 것이고 그렇지 않은 기업도 있을 것"이라고 말했다.
그는 "법을 통해 어떤 수치를 주고 기업에 이를 달성하라고 하는 것은 적합하지는 않을 것"이라면서도 "자율 보안을 하되 정보보호에 투자한 기업에 대해서는 세제 혜택 등의 인센티브 제도를 마련하는 것이 좋을 것"이라고 주장했다.
또 "정부는 필요하다면 법을 적절히 개정하는 등 기업에 당근과 채찍을 같이 줄 수 있는 쪽으로 제도적 개선을 해야할 것"이라고 덧붙였다.
!["3%룰 결국 포함" 여야, '더 센 상법' 합의…“석화산업 구조조정 못하면 업체 절반은 3년 내 도산” [AI 프리즘*기업 CEO]](https://newsimg.sedaily.com/2025/07/03/2GV7F5TRFR_1.jpg)
!["육성이 우선" AI 기본법 규제 3년 유예…"석화산업 구조조정 못하면 업체 절반은 3년 내 도산" [AI 프리즘*대학생 취준생 뉴스]](https://newsimg.sedaily.com/2025/07/03/2GV7G753DX_1.jpg)
