디지털타임스

대규모 정보유출 사고가 잇따르고, 사이버 위협도 높아지면서 보안에 대한 총체적 관리가 어느 때보다 중요해졌다. 올 들어서는 대통령까지 나서서 사이버 침해를 넘어선 '사이버 안보'를 강조하는 중이다. 청와대 안보특보에 사이버보안전문가를 앉힐 만큼 사이버보안 강국에 대한 의지가 읽힌다.

그런데 구호만 있을 뿐 실천이 없다. 보안 투자엔 공공기관이나 기업 모두 인색하기 짝이 없다. 지난 2013년엔 3.20과 6.25 사이버 테러가 있었고 작년엔 대규모 정보유출과 한국수력원자력의 내부자료 유출 등 대형 사이버 위협도 있었다. 이 때문에 관련 규정이 크게 강화되고 각종 보안 의무 조치도 늘어났다. 매번 당하기만 하는 정부와 기업은 사고 때마다 국민 앞에 허리 숙여 사죄하며 각종 보안 투자를 통한 재발방지를 약속했다. 하지만 말 뿐이다. 정부와 기업은 여전히 보안 투자에 인색하다.

3년째 보릿고개에 허덕이고 있는 국내 보안업계 매출 현황을 보면 이는 여실히 드러난다. 디지털타임스가 올해 상반기 주요 보안업체들의 실적을 분석한 결과, '최악'의 시기를 보낸 지난 2년과 크게 다르지 않았다. 시장 1위 기업인 안랩의 상반기 매출은 561억원, 영업이익은 21억원이다. 지난해 실적보다 모두 하락했다. 영업이익률은 가까스로 3%를 넘었다. 다른 기업들의 실적도 지배 구조상 특수 상황에 놓인 몇 곳을 제외하면 작년 상반기에 비해 실적은 개선되지 못했다.

보안을 강화해야 할 기업들의 투자 회피가 결국 이런 상황을 만들었다. 대형 사고 이후 보안업계는 올해 들어서면서 들떴다. 기술 업그레이드와 함께 필요 인력을 충원하고 시장 활성화에 대비했다. 그러나 상반기 시장은 기대 이하로 나타났다. 현장의 투자가 실제로 일어나지 않았기 때문이다. 공공기관과 금융사들은 각종 사고로 인한 대대적인 감사를 받느라 예정된 보안 투자를 미루기만 했다.

실제 미래부 조사 결과 지난해 IT 예산의 5% 이상을 보안에 투자하는 기업은 전체의 2.7%에 불과했다. 같은 조사에서 2013년에는 IT 예산의 5% 이상을 투자하는 기업이 3.2%였는데 대형 사고가 발생한 이후 외려 0.5% 포인트가 줄었다. 보안 예산을 아예 없애버린 기업도 수두룩하다. 조사 대상 중 보안 예산을 편성한 기업은 조사대상 7000여개 기업 중 단 20% 뿐이었다. 사이버 위협으로 인한 기업의 리스크는 충분히 인지하고 있는데도, 실제 투자로는 이어지지 않은 것이다.

경영 성적표에 그리 도움되지 않는 보안투자에 대해 CEO들은 가능하면 늦추고 싶어한다. 그러다보니 사이버 위협과 상관도 없는 세월호 사태, 메르스 사태가 보안 투자를 미루는 '핑계'가 되고 있다. 정책당국자나 고위층의 의지는 선언에 불과했다. 현장에선 투자가 이뤄지지 않고, 이런 저런 이유 들이대며 미루고 늦추기 일쑤다.

세계적인 보안 전문가들은 분명히 경고한다. 해커가 한번 공격한 곳을 6개월 이내에 다시 공격할 확률은 90%에 달하기 때문에 설령 보안 사고가 발생한 이후라도 철저한 보안체계 정립과 투자는 반드시 필요하다는 것이 전문가들의 목소리다. 정보유출 사고로 소비자와 국민의 분노가 휘몰아칠 때는 세계 최고 수준의 보안 인프라를 만들 것처럼 공약을 남발하다 사태가 잠잠해지면 슬그머니 꼬리를 내린다. 이래선 같은 방식의 사이버 공격에 다시 당하고 염치없이 같은 사과를 국민에게 반복할 것이다.

기업은 보안투자 강화하고 정부는 보안 관련 예산 피부에 와 닿도록 현실적으로 늘리자.

< Copyrights ⓒ 디지털타임스 & dt.co.kr, 무단 전재 및 재배포 금지 >