SK텔레콤 해킹 사태로 기업의 정보보안에 관심이 집중되고 있다.
SK그룹은 이번 사태를 계기로 외부 전문가까지 참여하는 '정보보호혁신특별위원회'를 그룹 최고 의사협의기구인 수펙스추구협의회 산하 9번째 위원회로 설치하기로 했다. 위원회는 그룹 내 계열사의 보안 리스크를 사전에 감지·차단하고, 보안 역량을 강화하기 위한 독립형 전문기구로 활동할 예정이다.
이런 가운데 보안 업계 관계자들은 전문 IT 기업이 아님에도 최고 의사협의기구 산하로 보안기구가 설치된 점에 주목하며, 기업 보안 인식에 전환점이 될 수 있다고 평가했다. 한편으로는 "우리나라 기업의 보안 인식은 여전히 '소 잃고 외양간 고치기' 수준에 머물러 있다"며 선제적이고 체계적인 대응이 필요하다고 지적했다.
20일 <메트로경제신문> 취재를 종합해보면, 올해 정보보안 관련 사업 예산을 삭감했다는 응답이 10곳 중 3곳에 달한 것으로 나타났다.
과학기술정보통신부와 한국인터넷진흥원(KISA)이 발표한 '2024년 정보보호 공시현황 분석 보고서'를 분석한 결과를 보면, 올해 정보보호 공시를 진행한 국내 기업은 총 746개사다. 이들의 평균 정보보호 투자액은 29억원, 평균 전담인력은 10.5명으로 집계됐다. 2023년 대비 각각 11%, 13.9% 증가한 수치다. 총 투자액은 약 2조1196억원, 총 전담인력은 7,681명으로, 전년 대비 총 투자액은 15.7%, 총 전담인력은 13.9% 증가했다.
하지만 증가세 이면에는 실효성 부족을 지적하는 목소리도 있다. 같은 응답자들을 대상으로 2025년 정보보호 예산 증감 여부를 묻자, 53%는 증가, 28%는 감소, 19%는 변동 없음이라고 답했다. 그러나 일부는 환율 요인이 반영된 '명목상 증가'에 불과하다는 지적을 내놓았다.
한 응답자는 "예산이 증가한 것은 맞지만, 이는 환율 상승으로 인해 외산 제품 결제, SaaS(서비스형 소프트웨어) 서비스, 클라우드 기반 보안서비스의 인프라 비용이 반영된 결과일 뿐"이라며 "실질적인 증액이라 보기 어렵다"고 말했다.
보안업계는 기업 내 보안 인식이 실제 실무자의 현실과 괴리를 보이고 있다고 지적한다. 이는 구조적 문제로 이어져 취약한 보안 체계를 낳는 배경이 된다는 것이다.
한 보안업계 관계자는 "보안은 새로운 사업을 위한 기술 도입 등 다른 사안에 밀려 항상 우선순위에서 밀린다"며 "경영진의 무관심이 가장 큰 문제"라고 꼬집었다. 그는 이어 "일회성 사건이 발생한 뒤에야 보안 기구를 만들고 예산을 투입하는 '사후약방문'식 대응이 반복되는 한, 정보보호 체질 개선은 요원하다"고 지적했다.
보안 책임이 특정 부서에만 전가되는 조직 구조 역시 여전하다. 한 클라우드 보안 담당자는 "SaaS 사용이 늘어나면서 사용자 관리부터 교육까지 모든 보안 업무가 보안팀에 집중되고 있다"며 "정작 사업부서는 보안 검토나 승인 절차를 생략하는 일이 많다"고 밝혔다. 보고서는 이러한 구조가 내부 실수로 인한 보안 사고가 반복되는 원인이 되고 있다고 진단했다.
정보보호 전문인력 확보 문제도 여전히 해결되지 않고 있다. 설문에 응답한 기업 중 65%가 인력 충원 계획이 있다고 밝혔지만, 실질적인 채용은 쉽지 않은 상황이다. 단기 이직과 기본 역량 부족이 주된 이유로 꼽힌다.
한 기업 보안담당자는 "채용 후 일정 수준이 되면 더 나은 조건을 찾아 떠나는 경우가 많다"며 "남아 있는 인력에게는 과부하가 심각하다"고 토로했다.
CISO(최고정보보호책임자) 제도의 실효성 부족도 반복되는 문제로 지적된다. 현행 제도에 따르면 CISO는 임원급 겸직 금지 원칙에 따라 대부분 계약직으로 선임된다. 이로 인해 2년 후 계약이 종료되는 사례가 빈번하다. 보고서는 "CISO가 실질적인 권한은 없고 책임만 지는 구조 때문에, 선임 자체를 꺼리는 분위기"라고 설명했다.
정부의 보안 정책과 가이드라인이 현장에 제대로 적용되지 않고 있다는 비판도 나온다. 제로 트러스트 가이드라인, 망분리 완화 정책 등이 발표되었지만, 이를 실제로 이행하기에는 기업 내부 인력만으로는 한계가 있다는 지적이다. "가이드라인을 이해하고 적용하기 어렵다", "실무적인 설명회와 사례 공유가 필요하다"는 현장의 목소리가 대표적이다.
Copyright ⓒ 메트로신문 & metroseoul.co.kr
Copyright ⓒ Metro. All rights reserved. (주)메트로미디어의 모든 기사 또는 컨텐츠에 대한 무단 전재ㆍ복사ㆍ배포를 금합니다.
주식회사 메트로미디어 · 서울특별시 종로구 자하문로17길 18 ㅣ Tel : 02. 721. 9800 / Fax : 02. 730. 2882
문의메일 : webmaster@metroseoul.co.kr ㅣ 대표이사 · 발행인 · 편집인 : 이장규 ㅣ 신문사업 등록번호 : 서울, 가00206
인터넷신문 등록번호 : 서울, 아02546 ㅣ 등록일 : 2013년 3월 20일 ㅣ 제호 : 메트로신문
사업자등록번호 : 242-88-00131 ISSN : 2635-9219 ㅣ 청소년 보호책임자 및 고충처리인 : 안대성
