[사설] 정보보호 예산은 비용이 아닌 투자다

우리나라 기업과 개인의 정보보호 인식이 크게 개선됐지만, 투자는 확대할 필요가 있는 것으로 나타났다.

미래창조과학부는 2015 정보보호실태조사 결과에서 기업부문은 정보보호 정책을 수립한 사업체 2.4%포인트(P), 정보보호조직 운영 5.1%P, 정보보호 최고책임자 임명 3.3%P 증가 등 정보보호 관련 관리 수준이 향상됐다고 발표했다. 개인부문도 정보보호 중요성 인식과 백업 실시 등 예방 활동이 소폭 증가했다.

이 결과는 각종 정보보안 사고 발생이 심각한 사회문제가 되면서 기업과 국민의 정보보호 예방과 대응 활동이 향상됐다는 의미다. 하지만 기업 정보보호 투자는 여전히 미흡하다. IT 예산 중 정보보호 비중이 5% 이상인 기업은 제자리(1.4%) 수준에 머물렀다. 전담조직 운영이나 정보보호 최고책임자(CISO) 임명, 교육 등도 소폭 증가에 그쳐 정보보호 예산 및 전문인력 양성 투자 확대가 필요한 상황이다.

모바일 보안조사에서는 이용자 중 32%가 악성코드 감염 등을 경험했다. 사이버 보안 위협은 스마트폰 사용 확산으로 모바일로 이동하고 있는 추세다. 이런 상황에서 스마트폰 사용자 40% 가량이 금융거래에 쓰는 공인인증서(PKI)를 모바일기기 메모리에 저장하고 있다는 것은 충격적이다. 정보보호 안전 불감증이 심각하다는 얘기다. 모바일 안전성 강화가 필요한 대목이다.

정보보안은 끊임없는 예방을 통해 최신 해킹 공격에 대비해야 한다. 이를 위해서는 적지 않은 비용 투입이 마땅하다. 정보보호 인식이 높아졌다고 해서 보안사고가 감소하는 일이 없기 때문이다. 더욱이 갈수록 교묘해지는 해커는 기업이나 개인에게 끊임없이 위협을 가하고 있다. 해커들에 대항하기 위해선 만반의 준비가 필요하다.

이에 들어가는 예산은 비용이 아니다. 막대한 피해를 사전에 막을 수 있는 투자라는 인식이 필요하다. 정보보호 전담조직을 두고 관리에 신경 쓴다면 보안사고 예방은 그리 어려운 일이 아니다. “정보보호 예산은 비용이 아닌 투자”라는 말은 아무리 강조해도 지나치지 않다.