[취재.txt] ‘징벌적 과징금’ 엄포가 전환점 될까…보안 투자 확대 기대한다

[컴퓨터월드] 이재명 대통령이 최근 “사이버 보안 사고를 반복하는 기업들에 대해 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 하라”고 지시하면서 그동안 비용으로만 여겨졌던 사이버 보안의 경영상 중요도가 높아질지 관심이 모이고 있다. 이 대통령은 특히 “개인정보 보호를 위한 보안 투자를 불필요한 비용으로 간주하는 잘못된 인식이 이런 사태의 배경”이라며 기업들의 안이한 보안 인식을 직격했는데, 이를 두고 국내 사이버 보안 업계는 본격적인 보안 투자 확대를 기대하고 있다.

사이버 보안 사고를 당한 기업은 사실 악의적이고 무차별적인 공격의 피해자이기도 하다. 하지만 문제는 평소 정부 당국과 업계 모두가 사이버 보안의 중요성을 당부하는데도 경고를 등한시했다는 데 있다. 정부의 강경 기조는 이런 맥락에서 충분한 설득력을 가진다. 최근 2,300만여 가입자 정보가 유출된 SK텔레콤을 비롯해 초유의 기지국 해킹을 당한 KT, 그리고 300만여 가입자 정보가 유출된 롯데카드, 랜섬웨어 피해로 전산장애를 겪은 SGI서울보증과 예스24 등 계속된 사이버 보안 사고들이 모두 안이한 보안 의식에 근본적인 원인이 있었던 것으로 분석되기 때문이다.

실제 많은 국내 기관 및 기업, 즉 고객들이 보안을 귀찮은 절차와 규제로 여긴다. 보안 솔루션이 추가되면 시스템 속도가 느려지고 작업이 지체된다며 ‘마술과 같은’ 소프트웨어적 해법을 요구하는 것은 다반사다. 최근 한 행사에서 공공부문 관계자는 “보안 하는 사람들은 무중단이나 성능은 도외시한다”며 보안 업체 대표들 앞에서 일장 연설을 늘어놓기도 했다. 물론 이는 시스템 중단이나 지체를 참지 못하는 우리 국민들의 성향에서 비롯된, 한정된 예산을 집행해야 하는 운영자 입장의 고충이 담긴 요구일 수 있다. 그러나 보안 담당 기자가 보기에는 “이래서 보안 강화 목소리가 묻힐 수밖에 없구나”라는 생각이 드는 순간이었다.

이렇게 보안이 등한시되는 만큼 매출도 힘을 받지 못하고 있다. 한국인터넷진흥원(KISA)에 따르면 2024년 국내 773개 기업의 전체 IT 투자 대비 정보보호 분야 투자 비중은 6.29%로, 4년째 6%대 초반에 머물고 있다. 반면 미국의 보안 컨설팅 기관인 IANS 리서치의 조사에 따르면, 미국 기업의 IT 예산 중 보안 분야 투자 비율은 13.2%에 달한다. 대다수 국내 보안 기업들이 중소기업 규모에 머무는 이유다.

최근 기자와 취재로 만난 한 업계 관계자는 “현실적으로 전체 IT 예산의 6%라는 통계가 체감되지 않는다. 3% 수준도 안 될 거라고 느낀다. 고객들은 매번 비용을 깎으려고만 하는 게 현실이고, 인력파견이나 유지보수에 대한 비용을 인상은커녕 책정해달라 요구하는 것조차 쉽지 않다. 중장기적으로 대기업 및 중견기업 뿐만 아니라 중소기업까지, 전 산업에서 지금의 최소 2배 이상 보안에 대한 투자가 이뤄져야 국내 시장이 어느 정도 활력을 띠지 않을까 생각한다”고 말했다.

상황이 이렇다 보니 국내 보안 기업들에 대한 투자자들의 평가 역시 매우 저조하다. 전 세계적으로 사이버 보안 기술을 독자적으로 보유해 적용한 것으로 알려진 국가는 두 손안에 꼽힌다. 미국, 중국, 영국, 러시아, 이스라엘, 에스토니아, 사우디아라비아, 싱가포르 등이다. 한국은 이 가운데 5~6위 정도에 충분히 자리할 수 있는 기술력으로 평가된다. 하지만 투자 시장의 평가는 전혀 다른 수준이다. 코스피에 상장한 순수 사이버 보안 기업은 없으며, 그외에는 코스닥 상장 기업으로 매출 1천억 원 이상 기업 3곳과 500억 원 이상 기업 4곳이 있다. 국내 최대 규모 사이버 보안 기업을 자부하는 SK쉴더스는 상장도 못하고 있다. 라온시큐어, 지니언스 등 9개 기업이 지난 6월 공동 기업 설명회를 개최한 것도 이런 저평가 현실을 극복하기 위해서였다.

해외, 특히 이스라엘의 경우 크게 다른 모습을 보여준다. 전 세계 사이버 보안 투자의 13%를 유치하며 이 분야 글로벌 유니콘 중 1/3 이상이 이스라엘 기업일 정도로 정부 주도의 전략적 투자가 성과를 내고 있다. 미국도 연방 정부의 구매력과 보조금을 활용해 사이버 보안 기업에 대한 인센티브를 제공하고, 사이버 보험 시장도 활성화해 더 나은 기업 보호 및 시장 성장 환경을 제공하고 있다.

이스라엘과 미국 사례에서 보듯 국내 업계는 기업들에게만 책임을 돌릴 것이 아니라 정부와 공공기관들부터 보안 투자를 확대하고 정책적 지원을 강화해야 한다고 주장한다. 우선 기업들로서는 정부 공공기관에 구축한 레퍼런스가 시장 개척과 해외 진출 시에 큰 도움이 된다. 특히 국정원을 통한 해외 정보기관 및 현지 협력 기업으로의 솔루션 구축 사례 전파가 실제 수출 확산의 물꼬가 되는 경우가 많은 것으로 알려졌다. 최근에는 사이버 공격에 대한 보험 시장이 전무한 수준이라는 지적도 나오고 있다. 글로벌 시장이 27조 원 규모인 데 비해 한국은 40억 원 규모에 불과하기 때문이다.

디지털 전환(Digital Transformation) 물결과 인공지능(AI)의 폭발적인 발전 속에서도 그를 뒷받침하는 사이버 보안은 국내에서 소외돼 있었다. 이에 업계는 이어지는 사고에 안타까움을 표하면서도 이번 징벌적 과징금 언급을 대체로 환영하고 있다. 우리 사이버 보안 기술이 제대로 된 가치를 인정받으려면 우선 국내에서 많은 사례를 쌓아야 하고, 그러기 위해서는 정부와 공공기관, 그리고 기업들의 투자가 뒷받침돼야 한다. 그리고 기업들에게는 투자 확대 시 실질적인 인센티브가 있어야 한다. 업계는 대한민국의 미래를 걸고 추진하는 ‘AI 3대 강국’이 되려면, 그를 뒷받침하는 사이버 보안 기술력 역시 뒤따라야 함을 잊어서는 안 된다고 외치고 있다.