[사설]정보보호 예산 획기적 편성 필요한 때

정부가 새해 정보보호 예산을 지난해보다 7.7% 많은 2600억원으로 편성했다는 소식이다. 새해 정보화 예산을 지난해 3조3000억원보다 500억원가량 낮추면서도 정보보호 예산을 늘렸다니 다행이다. 기획재정부는 지난해 사이버테러가 발생하는 등 정보보호 필요성이 늘어났기 때문이라고 설명했다.

하지만 전체 정보화 예산의 8%인 2600억원은 아직 부족하다. 더욱이 들쭉날쭉한 정보보호 예산 편성으로는 꾸준한 정보보호 정책을 수립하기 쉽지 않다. 최근 5년 국내 정보보호 예산 편성 추이를 보면 여실히 나타난다. 2009년에 편성된 예산은 1757억원(정보화 예산의 5.6%)이었지만 그해 7·7 디도스 사건이 발생하자 다음해 예산이 2695억원(정보화 예산의 8.2%)으로 뛰었고 2011년에는 다시 2035억원으로 줄었다. 그러다 2011년 3·4 디도스 공격과 농협 전산시스템 마비 사건이 터졌고 예산은 다시 2633억원으로 늘어났다. 해마다 증가와 감소를 반복하는 전형적인 `널뛰기`식 예산 편성이다. 이런 현상은 이후에도 이어졌다. 2013년 예산은 예상대로 2400억원으로 낮아졌고 3·20, 6·25 사이버테러 등 보안사고가 잇따르자 새해 예산이 다시 2600억원으로 늘어났다.

2007년 이후 정보보호 분야에 정보화예산의 9% 이상을 투자하는 미국과는 대조적이다. 미국은 정보보호 중요성을 인식하고 지난해에는 전년도보다 여섯 배 증가한 47억달러를 예산으로 책정했을 정도다.

사건이 터졌을 때 사후약방문 방식으로 처방하는 정보보호 예산으로는 근본적인 대책을 세우지 못한다. 국민 모두에 정보보호 인식을 심을 수 있는 중장기 국가정보보호 전략과 시나리오가 필요하다. 외부 공격에 대응함은 물론이고 내부 취약점을 개선할 수 있는 종합적인 대책이어야 한다. 정보보호 시스템 투자와 시스템을 관리하는 보안 담당자에 대한 투자도 함께 이뤄져야 한다.

정보보호는 사안이 발생했을 때 하는 게 아니라 만일에 있을 사고에도 대비해야 하기 때문에 어렵다. 지속적이고 획기적인 투자가 뒷받침되지 않으면 수습하기 힘든 보안 사고는 반복될 수밖에 없다. 언제까지 땜질식으로 정보보호 정책을 세울 수는 없지 않은가.