【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]기업 88%, 정보 보호에 500만원도 안 쓴다

온카뱅크관리자

2025-12-06 01:07:28

<div id="layerTranslateNotice" style="display:none;"></div> [해커들의 놀이터 된 한국] [2] 기업의 보안 모럴해저드 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="xIPW0NiP5P">
 <figure class="figure_frm origin_fig" contents-hash="b56ec5d7b4c6a659ae6431bb026ab81a445af81862930fb12914202404a30d9e" dmcf-pid="yVvMN0ZvG6" dmcf-ptype="figure">
 <img alt="SK쉴더스 사이버보안 관제센터 ‘시큐디움(Secudium)’. /SK쉴더스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/06/chosun/20251206005703415etpx.jpg" data-org-width="1008" dmcf-mid="6mtas9711M" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/06/chosun/20251206005703415etpx.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 SK쉴더스 사이버보안 관제센터 ‘시큐디움(Secudium)’. /SK쉴더스
 </figcaption>
 </figure>
 직원 15명인 서울의 한 소형 세무법인은 자체 보안 예산이 없다. 세무 관련 업무는 클라우드(가상 서버)로 연결된 전문 프로그램을 쓰고, 파일 공유는 구글드라이브나 마이크로소프트의 원드라이브를 사용한다. 세무법인 내부 컴퓨터는 예전에 받아놓은 백신을 돌려 관리한다. 직원 이메일을 통해 세무법인 컴퓨터 전체가 악성코드에 감염되고, 역으로 클라우드까지 해킹될 수 있다는 생각은 해본 적 없다. A(46) 대표는 “업무를 하면서 해킹에 대해 생각해본 적이 없다”며 “우리 같은 업체가 그런 것까지 할 필요가 있나 싶다”고 했다.
 전 세계 해커들이 몰려들며 올해만 한국에서 6000만건이 넘는 개인 정보가 유출된 가운데 한국 기업들은 보안에 투자하는 예산·전담 인력·개선 의지가 없는 ‘3무(無)’ 상태에 빠졌다. 대규모 고객 데이터 유출로 불법 결제, 피싱 사기 등 2차 피해가 발생할 가능성이 커졌는데 기업들은 여전히 보안 투자에 소극적인 ‘모럴 해저드’에 갇힌 것이다.
 <figure class="figure_frm origin_fig" contents-hash="5493dac08603a2a99ef72789ac00e20b6dcbd7cf523b221c60abd4774439bbb6" dmcf-pid="GbC6L1YC1f" dmcf-ptype="figure">
 <img alt="그래픽=양인성" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/06/chosun/20251206005704771jnhq.jpg" data-org-width="2000" dmcf-mid="Ps1as971Gx" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/06/chosun/20251206005704771jnhq.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 그래픽=양인성
 </figcaption>
 </figure>
 과학기술정보통신부가 전국 10인 이상 기업 6500곳을 조사해 올 4월 발표한 ‘2024년 정보보호 실태조사’에 따르면 정보보호에 연간 한 푼도 쓰지 않거나 500만원 미만을 쓰는 비율은 전체의 87.9%였다. 10곳 중 9곳이 보안 사각지대에 놓인 것이다. 전체 기업 중 정보보호에 예산을 한 푼이라도 배정한 기업은 절반(49.9%)에 불과했다. 전체 기업의 48.4%는 사내에 정보보호 정책이 없었고, 67.4%는 정보보호 조직 자체가 없었다.
 ◇“털려도 과징금 맞는 게 싸다“… 기업 97%가 정보보호 전담팀 없어
 한국 기업들은 말로는 “정보 보호가 중요하다(79% 응답)”고 하면서 정작 투자에는 소홀하다. 기업데이터연구소 CEO스코어가 585곳의 정보보호 투자 현황을 분석한 결과 2022~2024년 기업들의 매출 대비 정보보호 투자 비율은 0.1~0.13%였다. 특히 IT 분야 투자 예산 대비 보안 투자 비율은 6~6.2%로 미국(13.2%)의 절반 수준이었다. 글로벌 네트워크 장비 업체 시스코가 한국을 포함해 30국의 민간 보안, 비즈니스 리더 8000여 명을 대상으로 조사한 결과에서 한국이 사이버 위험을 효과적으로 관리한다고 평가한 비율은 3%에 불과했다. 국내 기업들이 보안 투자에 소홀한 것은 당장 눈에 보이는 성과가 없기 때문이다. 실적 수치만 따지는 ‘가성비 경영’이 해커들을 한국으로 불러모으는 것이다. 익명을 요구한 한 보안 대기업 전 대표는 “놀랍게도 한국은 대기업, 중견기업, 중소기업, 벤처, 소상공인 할 것 없이 보안 의식이 경제 수준이나 글로벌 레벨에 비해 너무 낮다”고 했다.
 <figure class="figure_frm origin_fig" contents-hash="7895e34ce42c0a87d3a21d7a1b37c06d296a8dfa75609d0f5105e98d326c5942" dmcf-pid="5VvMN0Zv1K" dmcf-ptype="figure">
 <img alt="그래픽=양인성" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/06/chosun/20251206005706067jtsj.jpg" data-org-width="480" dmcf-mid="QMXLwBpXtQ" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/06/chosun/20251206005706067jtsj.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 그래픽=양인성
 </figcaption>
 </figure>
 ◇정보보호 전담 조직 설치한 기업 3%뿐
 기업들의 낮은 보안 의식은 정보보호를 전담하는 인력 배치에서 드러난다. 전체의 67.4% 기업은 공식적인 정보보호 조직을 운영하지 않는다. 전담 조직으로 꾸린 곳은 3%에 불과했다. 그 담당 직원 수도 평균 1.1명에 그쳤다. 김명주 서울여대 교수는 “보안 인력도 전담이 아니라 개발 쪽에 있는 사람이 보안 쪽 일을 같이하는 식이 많다”며 “보안 담당자를 뽑고 꾸준히 재교육하며 투자 개념으로 대비해야 하는데 그런 게 없다”고 했다. 보안은 매일 모니터링이 필요하고, 해킹에 빠르게 직접 대응하는 인력이 필수적이다. 하지만 보안 인력 채용은 오히려 줄고 있다. 2022년 정보보호 인력 신규 채용 규모는 3849명이었는데 매년 점점 줄어, 올해 예정 채용 규모는 2029명에 불과하다.
 정부는 기업의 보안 관리를 강화하기 위해 2019년 일정 규모 이상 기업과 기관은 정보보호최고책임자(CISO)를 의무 지정하도록 했지만 유명무실하다. 기업들은 CISO보다 각종 데이터를 다루고 이를 AI에 활용하는 CIO(최고정보책임자)를 선호한다. CISO를 둔 기업은 18.1%였지만 CIO를 둔 기업은 55.8%다. CISO에겐 IT자산 통제권, 이사회 보고 권한, 예산·인력 권한 등이 없기 때문이다. 이 때문에 정보 보호를 총괄하는 CISO는 사실상 ‘명함만 CISO, 실제론 CIO 보조’라는 말이 나올 정도다. 보안 업계에선 CISO 제도 설계가 잘못됐다는 비판이 나온다. 업체마다 규모가 다른데 CISO 규정은 대기업 표준에 맞춰놔 실효성이 떨어진다는 것이다. 보안 업계 관계자는 “기업 규모에 따라 세분화된 CISO 가이드가 나와야 한다”며 “CISO의 권한을 대폭 강화하고 매주 이사회에 참석해 보안 이슈를 경영 이슈 중 하나로 다뤄야 한다”고 했다.
 ◇솜방망이 처벌에 ”과징금 내는 게 경제적”
 한국 기업들은 보안 사고가 터져도 시간이 흐르면 잊히고 기업 경영에 별문제가 없다고 생각한다. 전직 보안 기업 대표는 “미국은 보안 사고가 나면 고객 신뢰를 잃고 주식시장에서도 큰 타격을 받는다는 인식이 큰데 우리는 그렇지 않다”며 “당장 절감하는 비용보다 보안 사고로 발생하는 비용이 훨씬 많이 들 수 있다는 인식을 가져야 한다”고 했다.
 개인정보 유출에 따른 과징금도 적다 보니 투자보다는 과징금 두들겨 맞는 게 경제적이라는 인식이 팽배하다. 개인정보보호위원회에 따르면 2020년 8월 개인정보위가 출범한 후 올해 9월까지 모두 1억916만건의 개인정보가 유출됐는데, 이에 따른 누적 과징금은 3671억1585만6000원이었다. 개인정보 건당 과징금이 3300원에 그친 것이다. 이는 기업 잘못으로 개인정보가 유출됐을 때 징벌적 손해배상을 매기는 유럽이나 미국과 비교하면 푼돈이다. 2019년 미국 연방거래위원회(FTC)는 이용자 8700만명의 개인정보를 정치 컨설팅 업체에 임의로 유출한 페이스북(현 메타)에 과징금 50억달러(약 7조3700억원)를 부과했다. 반면 한국에서는 지난 4월 2300만건의 유심 정보가 유출된 SK텔레콤이 받은 과징금 1348억원이 역대 최대 규모다.
 </section> 
 </div> 
 Copyright © 조선일보. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기