사진 확대

사이버 공격 위협이 커지고 있지만 국내 기업·기관들의 정보보호 투자는 여전히 미흡한 수준이다. 보안 투자는 당장 닥치지 않은 잠재적 위험에 대비하는 ‘보험’ 성격이 강하다 보니 예산 집행에서 뒤로 밀리는 경우가 다반사다.

3일 한국인터넷진흥원(KISA) 정보보호 공시 종합 포털이 집계한 국내 773개 기업의 2024년 총 정보기술부문 투자 대비 정보보호부문 투자 비중은 6.29%로, 4년째 6%대 초반에 머물고 있다. 미국의 사이버 보안 예산 비중과 비교해 절반에 불과한 수준이다. 미국 보안 컨설팅 기관인 IANS 리서치에 따르면 미국 기업의 정보기술(IT) 예산 중 보안 투자 비율은 13.2%로 조사됐다.

개별 기업 단위로 보면 대규모 해킹 사태를 겪은 SK텔레콤이 전체 IT 예산의 4.2%를 정보보호 투자로 집행했다. KT(6.3%) LG유플러스(7.4%) 대비 낮은 수준이다.

사진 확대

삼성전자는 국내 기업 중 정보보호에 가장 큰 금액(3562억원)을 투자했지만 이는 전체 IT 예산과 견줘 보면 5.4%에 그친다. LG전자는 이보다 낮은 4.5%, 현대차는 5.7%였다. 주요 플랫폼도 보안 투자 비율이 낮은 것은 마찬가지다. 쿠팡이 4.6%, 네이버가 4.5%, 카카오가 3.5%, 우아한형제들이 4.1%를 기록했다.

투자금액을 매출액과 견줘 보면 국내 기업들의 빈약한 보안 투자 현실이 더 도드라진다. 연결 기준 매출액 대비 정보보호에 0.1%도 투자하지 않는 경우가 적지 않다. 삼성전자가 0.12%였고 LG전자가 0.03%, KB국민·신한은행이 각각 0.08%에 불과했다.

KISA가 지난해 국내 16개 업종, 6500개 기업을 대상으로 정보보호 실태를 조사한 결과에 따르면 응답한 기업의 79.0%가 정보보호의 중요성을 인식하고 있다고 답했으나 실제 정보보호 예산을 사용한 경우는 2곳 중 1곳(49.9%)에 불과했다.

이 비중은 2022년 67.9%에서 2023년 57.8%로 하락한 뒤 지난해 50% 밑으로 떨어졌다. 예산 규모도 500만원 미만이라고 답한 기업이 전체의 75.8%로 가장 많았다. 1억원 이상이라고 답한 기업은 0.6%뿐이었다.

일선 현장에서는 기업들의 정보보호 투자를 유도하기 위한 정부 차원의 지원 대책이 필요하다는 주문이 나온다. 구체적으로 연구개발(R&D) 투자처럼 보안 투자에 세제 혜택을 제공하는 방안이 대안으로 거론된다.

최근 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원이 정보보호 투자와 관련 인력 채용 시 세제 혜택을 주는 내용을 담은 ‘정보통신망법 일부개정안’과 ‘조세특례제한법 일부개정안’을 대표 발의하는 등 정치권 논의도 본격화되고 있다.

조영철 한국정보보호산업협회(KISIA) 회장은 “정보보호 투자에 대한 세금 감면에 더해 성실 공시 기업이나 개인정보 관련 인증 제도인 ISMS-P 등 보안 인증을 받은 기업에 대해서는 정보 침해 사고 발생 시 과징금 책정 등에서 일정 부분 정상 참작을 해주는 방안도 도입할 만하다”고 말했다.

사진 확대

국가 차원의 사이버 보안 관련 예산을 파격적으로 늘려야 한다는 목소리도 크다. 올해 지방자치단체에 대한 보안 투자가 1934억원에서 1869억원으로 전년 대비 감소하자 지자체를 대상으로 한 해킹 공격이 최근 수년래 최대치를 기록 중인 것으로 파악된다.

한 보안업계 고위 인사는 “인공지능(AI)과 관련해 전체 투자 규모를 늘리는 방향으로 정부 정책이 세팅됐지만 사이버 보안은 총액이 늘지 않은 상황에서 주먹구구식으로 예산을 배분하다 보니 지자체 해킹 급증 사례와 같은 허점이 발생하고 있다”고 지적했다.

주요국들은 사이버 보안을 강화하기 위해 다양한 인센티브를 제공하고 있다. 미국은 AI 위협 탐지와 암호화 등 주요 보안 기술 개발에 대해 최대 15.8%의 세액공제 혜택을 주고 있다. 중소기업은 50만달러 한도로 급여세 감면도 받을 수 있다. 미국 연방 에너지규제위원회(FERC)는 전력·가스 등 유틸리티 업체들이 고급 보안 인프라스트럭처를 도입할 경우 관련 비용을 에너지 요금에 포함시킬 수 있도록 인센티브 요율을 인정하고 있다.