최근 실시한 ‘2014년 상반기 정보보호산업 동향 조사’에 따르면 우리나라 정보보호 업계의 지난 상반기 실적은 작년 대비 80% 수준에 그쳤다. 실적부진도 걱정이지만 연이어 터진 정보보호 관련 각종 사건·사고에도 대한민국의 정보보호 인식과 투자가 개선되지 못하고 있는 현실이 더 우려된다.
이런 상황에 미래창조과학부가 ‘정보보호 투자 활성화 대책’을 핵심과제로 내놓았다. 최근 높아지는 정보보호 중요성과 위상에도 보릿고개라는 표현이 어울릴 정도로 어려움을 겪고 있는 관련 업계에 긍정적 신호탄이 될 것으로 보인다.
또 국가기간산업으로 분류할 수 있는 정보보호산업을 정부가 앞장서 육성하고 인력을 양성해 안전을 확보하려는 노력은 매우 고무적이다.
특히 미래부 발표 내용 중 ‘정보보호 준비도 평가제도’ 도입은 정부·공공 부문에 비해 상대적으로 취약한 민간 부문의 정보보호 인식 확산과 법규준수를 촉진해 기업의 정보보호 역량강화에 기여함과 동시에 정보보호 산업을 발전시키는 선순환 효과를 이끌어낼 수 있는 획기적인 방안이 될 것으로 예상된다.
‘정보보호 준비도 평가’ 제도는 기존 정보보호관리체계(ISMS)와 달리 민간자율 형태로 시행될 예정이다. 기업이 자발적으로 정보보호 역량 강화를 위해 얼마나 노력하는지에 따라 그 성패가 결정될 것이다. 이로써 정보보호를 강화하기 위한 노력이 ISMS 대상 기업에서 전체 기업으로 확산되기를 기대한다.
기업 스스로 정보보호를 위해 노력해 나가는 환경을 조성, 범국가적인 정보보호 문화 정착은 물론이고 정보보호 시장 저변확대에도 크게 기여할 것으로 보인다.
이번 발표에 포함된 ‘조세감면 혜택’도 기업이 체감하는 실질적인 혜택이 될 것이다. 기업은 정보보호 투자로 조세감면 혜택도 얻을 수 있다. 가령 정보보호에 1억원을 투자하면, 세제혜택이 기존 700만원에서 1000만원으로 늘어난다. 적용기간도 2014년에서 2017년까지 연장됐다. 정보보호 세제혜택은 기업이 정보보호를 ‘비용’이 아닌 ‘투자’로 받아들이는 인식변화의 단초가 될 것이다.
IT예산 중 정보보호 분야에 5% 이상 투자하는 기업의 비율을 보면, 한국 기업은 3%인 반면에 미국 기업은 40%에 육박한다. 이렇듯 우리나라의 정보보호 투자비율은 선진국과 비교할 때 현저히 낮은 수준이다. 정보보호 투자를 필수불가결한 요소로 받아들이는 외국 정부와 기업의 인식 밑바탕에는 정보보호가 기업의 신뢰와 직결되고, 투자 이상의 효과를 가져온다는 신념이 깔려있다.
만약 그런 믿음이 없다면 그 어떤 최고경영자가 정보보호에 투자를 하겠는가. 우리나라 기업 대부분이 정보보호를 단순히 ‘비용’으로 인식하고 있는 상황에서 이번 정부의 투자 활성화 대책 발표는 정보보호 산업의 중요성을 일깨워 주고 안전한 사이버 세상을 만들기 위한 포석이 될 것이다.
우리나라도 정보보호가 제품 도입만으로 끝나지 않고, 지속적인 관리가 필요한 분야로 인식하는 문화가 확산돼야 한다. 아직도 정보보호는 일반 IT 제품과 동일시돼 결함이 발생해야만 기술지원이 필요한 분야로 인식되고 있다. 그러나 정보보호 솔루션은 도입보다 유지관리(보안서비스)가 훨씬 더 중요한 특성을 가진다. 이를 인식하지 못하는 정보보호책임자는 존재 의미가 갈수록 축소될 수밖에 없다.
정부의 활성화 대책이 단지 발표만으로 그치지 않으려면 실질적으로 이행되고 후속 정책 지원이 중단 없이 이뤄지고 있는지 지속적 관리와 관심이 필요하다. 산업계도 중소기업용 정보보호 제품 개발과 서비스 확산에 힘써야 한다.
정보보호 투자확대 및 산업육성에 대한 정부의 지속적인 지원과 관심 속에, 우리 정보보호산업계도 국민의 개인정보를 지켜내고, 사이버세상의 안전을 유지하기 위한 지속적인 기술개발을 바탕으로 산업 경쟁력을 높이는 노력에 집중해야 한다.
심종헌 지식정보보안산업협회 회장 jhsim@unet.kr
