보안인식 제고와 함께 보안예산이 뒷받침되어야 보안문화 가능
소극적인 법·규제 준수에서 벗어나 적극적인 문화조성 나서야

[시큐리티월드 김태형] 지난해말 전 세계와 우리나라를 뜨겁게 달궜던 소니픽처스 해킹과 한국수력원자력 해킹사태. 이러한 대형 해킹사건이 연이어 발생하면서 국내외 주요 기관 및 기업의 다양한 보안취약점이 드러나고, 이에 따른 보안 강화의 필요성이 대두되고 있다.

\r\n

이에 국가 중요 인프라를 관리하는 기관 및 기업에 대한 체계적인 보안정책 도입과 시행이 더욱 중요해졌다. 그 동안 단순히 관련 법규나 규제 준수에 중점을 두고 진행됐던 소극적인 정보보안에서 벗어나 보안문화를 정착시키기 위한 보다 적극적인 정보보안 투자가 요구되고 있다.

한번 수립한 보안정책이 철저히 준수될 수 있도록 함으로써 보안의식을 향상시키는 동시에 보안투자를 활성화함으로써 보안문화를 조성할 수 있는 기반을 갖춰야 한다는 것이다.

보안투자 활성화를 위한 정부의 움직임도 빨라지고 있다. 최근 정부는 400개 기관에 대한 사이버 안전 대진단을 통해 보안시장을 2배 규모로 키운다고 발표했다. 정부는 사이버침해 위험이 더욱 커진 만큼 대대적 사이버 진단을 통해 보안 취약점이 발견되면 기업과 기관들이 보안투자에 보다 적극적으로 나설 것으로 예상했다. 이렇게 되면 2014년 7조6000억원 규모의 보안시장이 2017년엔 2배인 14조원으로 규모로 성장이 예상된다는 것.

또 2000명의 기업 정보보호 최고책임자와 핫라인을 구축하고 정보보호 특성화대학 3개를 신설해 주니어 화이트해커 등 보안리더를 양성하며, IoT(사물인터넷) 실증단지 조성 등을 통해 IoT·빅데이터·클라우드 산업을 SW(소프트웨어) 기반 신산업으로 육성한다면 정보보안 투자 확대를 끌어낼 수 있을 것으로 기대하고 있다.

이와 관련 지식정보보호산업협회 심종헌 회장은 “IT 예산 중 정보보호 분야에 5% 이상 투자하는 기업의 비율이 미국은 40%인 반면, 한국은 3%에 불과하다는 조사 결과도 있다. 이와 같이 정보보호 투자가 미흡하면 정보보호산업 발전속도는 느려지고 결국엔 정보보호 전반의 수준이 약화되는 결과를 가져오게 된다”고 말했다.

또한 그는 “이러한 문제를 해결하기 위해서는 정부의 정보보호 예산과 정보화 예산이 분리되어야 한다. 현재 정보보호 예산이 정보화 예산에 포함되어 있어 정보보호 예산을 확대하기가 실질적으로 어려운 상황이기 때문”이라면서 “기업에서도 정보보호 예산을 일반 IT 예산과 분리해서 집행의 투명성을 확보해야 보안투자가 늘어나고 보안수준이 강화될 수 있다”고 지적했다.

그러나 기관이나 기업의 보안예산이 아무리 많이 증가해도 수립해놓은 보안정책을 철저히 준수하는 등의 직원들의 보안의식이 뒷받침되지 않으면 보안문화를 조성하는 일은 요원할 수밖에 없다. 결국 보안정책 준수와 보안의식 제고를 위한 끊임없는 보안교육, 그리고 이를 뒷받침할 수 있는 예산 확보를 통한 보안 솔루션 도입 등의 선순환이 이루어져야 보안문화가 직원들 모두의 몸에 배일 수 있다는 얘기다.