[정보통신신문=김연균기자]

일부 기업들의 정보보호 투자액과 전담인력이 증가하고 있다는 분석이 나왔지만 중소기업에게는 ‘그림의 떡’이라는 지적이 일고 있다. 투자 여력이 부족한 중소기업의 정보보호 역량을 강화하고 정보보호 사각지대를 최소화하는 방안이 요구되고 있다.

최근 과학기술정보통신부는 기업의 정보보호 투자를 촉진하고, 이용자의 정보 접근성을 보장하기 위해 ‘2023년 정보보호 공시 현황 분석보고서’를 공개했다. 이번 보고서는 2023년 정보보호 공시 현황을 토대로 국내 기업(701개사)의 정보보호 투자액, 전담인력, 2년 연속 공시 이행 기업(613개사)의 전년 대비 변화 추이 등을 분석했다.

■주요 기업 정보보호 투자 적극

우선 보고서를 분석해보면 업종별 투자액 및 전담인력 1위 기업은 각각 제조업 삼성전자(2435억원, 904.2명), 정보통신업 KT(1035억원, 303.8명), 도매 및 소매업 쿠팡(639억원, 167.7명) 순으로 높게 나타나 전년도와 동일했다.

분석 대상 기업의 총 정보보호 투자액은 약 1조8526억원으로 전년(1조5319억원) 대비 20.9% 증가했으며, 기업별 평균 투자액은 약 26억원으로 전년(24억원) 대비 8.3% 증가했다.

이 가운데 2년 연속 공시 이행 기업의 총 정보보호 투자액은 약 1조6968억원으로 전년(1조4839억원) 대비 14.4% 증가했고, 기업별 평균 투자액은 전체 공시기업의 평균 투자액보다 2억원 높은 약 28억원이며 전년(24억원) 대비 16.7% 증가했다.

주요 7개 업종별 평균 정보보호 투자액은 금융업(69억원), 정보통신업(57억원), 도·소매업(25억원) 순이며, 정보보호 투자 규모 상위 10대 기업의 대부분이 정보통신업이나 IT 분야 제조업으로 나타났다.

서비스별 주요 기업의 최고 정보보호 투자액은 플랫폼 네이버 416억원, 이통3사 KT 1035억원, 이커머스 쿠팡 639억원이다.

또한 분석 대상 기업의 정보보호 전담인력도 증가한 것으로 조사됐다.

보고서에 따르면 전체 정보보호 전담인력은 약 6891.5명으로 전년(5862명) 대비 17.6% 증가했고, 기업별 평균 전담인력도 약 9.83명으로 전년(9.05명) 대비 8.6% 증가했다.

2년 연속 공시 이행 기업의 전체 정보보호 전담인력은 약 6240.2명, 기업별 평균 전담인력은 약 10.18명으로 전년(5605.9명, 9.15명) 대비 각각 11.3%씩 증가했다.

주요 7개 업종별 평균 정보보호 전담인력은 정보통신업(23.35명), 금융업(17.41명), 도·소매업(9.03명) 순이며, 정보보호 전담인력 규모 상위 10대 기업의 대부분이 정보통신업으로 나타났다.

정보보호 투자, 전담인력 외에도 정보보호 관련 인증 및 주요 활동에서 전년 대비 랜섬웨어·해킹 대응 훈련, 인식제고 활동, 보안인증 획득, 보험 가입 등 다양한 정보보호 활동 실시 비율이 전체적으로 소폭 증가한 것으로 나타났다.

정보보호 및 개인정보보호 관리체계(ISMS 또흔 ISMS-P 인증)의 경우 지난해 30.56%에서 올해 31.24%로, 보험가입은 36.73%에서 38.80%로 증가했다.

■정보보호 수준 격차 심화 양상

기업들의 정보보호 투자액과 전담인력이 증가한 것은 사이버 공격 등 위협에 대한 정보보호 중요성이 높아졌기 때문이다.

그러나 상대적으로 정보보호를 위한 투자가 어려운 중소기업이 예산과 인력 투입에 집중하기엔 어려움이 많다.

이렇다 보니 사이버 공격 등 피해가 중소기업에 집중되는 양상을 보이고 있다.

한국인터넷진흥원에 신고된 사이버 침해사고는 2018년 500건에서 2022년 1142건으로 증가했다. 최근 5년간 총 신고건수 3303건의 84.4%인 2788건이 중소기업 신고건이었다. 2018년 458건이던 중소기업 사이버 침해사고는 2022년 964건으로 급증했다.

중소기업의 정보보호 수준 격차도 큰 상황이다.

2022년 실태조사에서 ‘250명 이상 기업체’와 ‘10~49명 기업체’의 정보보호 수준을 비교하면, 정보보호정책 보유율은 85.6% 대비 30.6%, 정보보호 조직 보유율은 79.1% 대비 36.1%, 정보보호 교육 실시율은 69.8% 대비 29.1%에 불과한 것으로 나타났다.

또 한국인터넷진흥원과 경기벤처기업협회의 ‘2023년 경기지역 중소기업 정보보호 보안실태 조사’에 따르면 전체 중소·벤처기업 550개 중 149개 기업(27.1%)만 정보보호 전담직원이 있다고 답변했다.

특히 전체 기업의 62.9%를 차지하고 있는 매출액 50억원 이하 기업의 경우에는 전담직원이 없거나(67%, 232명), 잘모르겠다(17%, 59명)는 답변이 84%(291명)에 달했다.

중소기업의 보안이 취약한 상황임에도 관련 법적 기반 및 정책은 미흡하다는 지적이 일고 있다.

단적인 예로 정부는 정보통신망법 제47조에 따른 정보보호관리체계(ISMS)와 개인정보 보호법 제32조의2에 따른 개인정보보호관리체계(PIMS)를 통합해 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 제도를 운영하고 있다.

해당 제도에는 정보보호 중심의 ‘ISMS 인증’과 개인정보의 흐름과 정보보호 영역을 모두 인증하는 ‘ISMS-P 인증’ 두 가지 유형이 있다. 80개 보안항목으로 ISMS 인증을 실시하되, 추가로 22개 개인정보 항목까지 인증을 받는 경우 ISMS-P 인증을 부여하며, ISMS 의무대상자는 ISMS 또는 ISMS-P 인증을 취득한 경우 인증 의무를 이행한 것으로 판단한다.

그러나 해당 제도는 기업의 규모에 따라 인증항목이나 평가방법 등을 구분하지 않고 있어 정보보호 자원이 상대적으로 열악한 중소기업은 시간과 비용부담 등 인증 취득에 어려움이 있다.

최근 국회입법조사처는 “한 설문조사에서 ISMS 인증에 참여한 기업들은 컨설팅 비용, 수수료, 인건비 등으로 평균 1억3100만원을 지출하고, 인증 준비부터 실제 취득까지는 통상 8~12개월이 걸리는 것으로 나타났다”며 “중소기업이 ISMS 인증을 취득하기가 현실적으로 어려운 상황이므로 구축 비용 지원과 인증 절차 간소화를 위한 ISMS 간편 인증제 도입이 시급하다”고 조언했다.

아울러 고도화되는 해킹 위협으로부터 중소기업을 충분히 보호하기 위해서는 정보보호 컨설팅 및 보안솔루션 지원 사업의 지원한도를 인상하는 등 정보보호 제품을 구매하려는 중소기업의 부담을 줄일수 있도록 지원을 강화할 필요가 있다.

해당 사업의 보안솔루션 지원한도를 살펴보면, 2020년도(추경예산)과 2021년도에 800만원이던 한도가 2022년부터는 540만원으로 감액된 바 있다.

김연균 기자 다른기사 보기