IT 예산대비 보안투자의 경우 5~10%는 17.4%, 3~5%가 16.9% 순 

 

[보안뉴스 김경애] 대다수의 기업에서 연간 정보보안 및 개인정보보호 분야에 투자하는 비용이 전체 IT 예산 대비 5~10%에 불과한 것으로 조사됐다.

이는 본지가 개인정보보호 담당자, CSO, CISO, CPO, 보안담당자 등 정보보호 관련 업무 종사자 1,314명을 대상으로 조사한 ‘기업의 연간 정보보안 및 개인정보보호 분야에 투자하는 비용의 전체 IT 예산 대비 비율’을 설문조사한 결과, 5~10%라고 답변한 인원이 228명(17.4%)으로 가장 높게 나타났다.

이어 3~5%가 223명으로 16.9%를 차지했으며, 별도의 예산 책정이 없다고 응답한 답변자도 무려 204명으로 15.6%로 집계됐다.

여기에다 1% 미만이 183명(13.9%)이며, 1~2%가 125명(9.5%), 2~3%가 113명(8.8%), 10% 이상이 149명(11.4%), 기타가 85명(6.5%)라고 응답했다. 이를 종합하면 5~10% 미만이 총 1,076명에 달하는 것으로, 82.1%가 정보보안 투자가 미흡하다는 걸 뜻한다.

반면 정보보안 위협은 갈수록 커지고 있는 실정이다. 특히, 최근에는 해킹팀 이슈로 새로운 취약점이 연이어 발견되고 있으며, 이러한 취약점을 노린 공격 징후 역시 탐지되는 상황이다. 이 때문에 공공기관 및 기업의 정보보안 투자 확대가 매우 시급한 상황이다.

이와 관련 국회 및 정부 차원에서도 정보보호의 중요성을 강조하고 있으며, 정책적으로도 보안투자의 필요성에 대해 여러 번 제기된 바 있다.

이와 관련 미래창조과학부 최재유 제2차관은 BOB 발대식에서 “최근 소니픽처스 사건이나 한수원 사건 등에서처럼 사이버보안 위협이 갈수록 사이버전 형태로 진화하고 있어 보다 적극적인 투자가 필요하다”고 말했다. 

새누리당 정두언 의원 역시 “정보보호에 대한 국가적인 투자가 이뤄져야 한다”고 말하기도 했다. 특히, 우리나라의 경우 북한과의 대립구도라 사이버보안의 중요성이 더욱 높아지고 있으며, 그에 따른 경쟁력을 갖춰야 한다고 강조했다.

물론 정보보호산업진흥법 통과 등에 따라 점차 개선되는 분위기로 나아가고 있다. 그러나 설문조사 결과에서도 알 수 있듯이 아직까지는 투자가 매우 부족한 실정이며, 중소기업의 경우는 더욱 심각한 상황이다. 정부 역시 전체적인 예산 축소 방침에 따라 IT 및 정보보호 관련 예산이 먼저 잘려나가고 있다.     

이렇듯 정보보안 및 개인정보보호 분야의 관심 및 투자 부족으로 보안사고가 반복적으로 발생하고 있다.

 

특히, 본지의 [주간 악성링크] 코너에서 보면 알 수 있듯이 여전히 수많은 국내 웹사이트에 악성URL이 심어지고 있으며, 악성파일 유포지나 경유지로 악용되고 있다. 게다가 이미 수차례 백신에서 탐지되어 바이러스토탈에서도 분석됐음에 불구하고, 반복적으로 악성URL이 심어지는가 하면, 개선되지 않고 장기간 방치된 사이트도 부지기수다.

그럼에도 정보보호 전담인력이 전무한 곳이 아직까지 많으며, 그나마 있는 1~2명의 보안담당자 가운데 다수는 다른 업무까지 맡고 있어 각종 보안위협에 신속하게 대응하지 못하고 있는 경우가 많다.

 

이는 결국 보안 분야에 제대로 투자되지 않아 보안사고의 악순환이 이어지고 있다는 얘기다. 그만큼 보안에 대한 CEO나 경영진의 관심이 중요하며, 이를 바탕으로 과감한 보안투자가 선행되어야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>