정보기술(IT) 예산 5% 이상을 정보보호에 투자하는 국내 기업은 2.7%에 불과하다. 영국 50%, 미국 40%에 비해 크게 낮다.
한국인터넷진흥원(KISA)이 내놓은 ‘2014년 정보보호 실태조사 결과’에 따르면 국내 기업 97%가 정보보호 예산을 5% 미만으로 편성했다.
정보보호 예산을 편성한 사업체는 주로 ‘정보보호 시스템 유지보수비(32.2%)’로 썼다. 정보보호 제품 및 서비스 구입비(28.5%), 정보보호 인력 인건비(27.2%), 정보보호 교육훈련비(10.6%) 순이었다.
정보보호 예산을 편성한 사업체 83.8%가 전년 대비 지출 금액 변동이 없었다. 증가한 기업은 15.4%였으며 감소한 기업도 0.8%가 있었다.
조사 기업 중 25%만이 침해 사고대응 활동을 수행했다. 사이버 공격 대응 시 긴급 연락체계를 구축한 곳은 13.4%에 머물렀다. 보안 점검과 취약점 점검도 여전히 미흡하다. 국내 기업 23.6%만이 시행했다. 연 1회 이상 정기적으로 보안 점검을 수행하는 기업은 11.2%에 머물렀다. 비정기적으로 보안점검을 하는 기업은 11.9%였다.
정보보호 정책을 수립한 기업은 10% 수준이었다. 공식문서로 작성된 정보보호 정책을 수립한 곳은 11.3%였다. 금융과 보험업(74.5%), 정보서비스업(26.0%)을 제외한 나머지 업종의 정책 수립률은 20% 미만으로 낮다.
조사 대상 기업 중 최고정보보호책임자(CISO)를 임명한 기업은 7.7%에 지나지 않았다. 개인정보수집사업체 중 개인정보관리책임자(CPO)를 임명한 기업은 24.8%였다.
정보보호 전담 조직 운영 비율도 2.8%에 불과했다. 금융과 보험업을 제외한 대부분 업종의 정보보호 전담 조직 운영 비율은 10% 미만이다. 금융과 보험업은 그나마 29.2%가 정보보호 전담조직을 운영했다. 규모별로는 250명 이상 대규모 사업체의 정보보호 전담 조직 운영 비율이 53.2%였다.
KISA는 지난해 7월부터 9월까지 두 달간 총 7089개 사업체를 방문해 조사를 진행했다.
김인순기자 insoon@etnews.com
