조영철 한국정보보호산업협회 회장 = 올해 초 발생한 대형 통신사 해킹 사고는 우리 사회에 뚜렷한 경고음을 울렸다. 수천만 명의 고객정보가 유출됐고, 개인정보보호위원회는 약 1350억 원에 달하는 과징금을 부과했다. 이는 우리 기업의 보안 역량과 대응 체계가 얼마나 취약한지를 보여주는 상징적 사례다.
피해는 통신사에 그치지 않았다. 유통사·항공사·대학·언론사 등 기업과 기관은 물론, 대기업 총수나 유명 연예인까지 공격의 표적이 됐다. 그러나 공개된 사례는 빙산의 일각에 불과하다. 다수 기업이 침해 사고를 외부에 알리지 못한 채 내부적으로 봉합하고 있으며, 그 사이 공격자들은 더욱 정교하고 대담해지고 있다.
IBM의 2024년 보고서에 따르면 전 세계 기업의 데이터 유출 평균 피해액은 448만 달러, 약 68억 원에 달하는 것으로 알려졌다. 이는 단 한 번의 보안 사고가 수백, 수천억 원의 손실로 이어질 수 있다는 뜻이다.
그럼에도 불구하고 많은 기업들은 여전히 보안을 '비용'으로만 인식한다.
2024년 국내 정보보호 공시에 따르면 공시 대상 기업들의 IT 예산 대비 보안 투자 비율은 평균 6%대에 그쳤다. 이는 기업들이 보이지 않는 보안 위험에 대한 투자를 주저하며 예산을 보수적으로 편성하고 있음을 보여준다.
반면 글로벌 보험사 히스콕스 보고서에 따르면 미국과 유럽 기업들은 평균 10% 이상을 보안에 투자한다. 즉 해외 기업들은 상대적으로 보안을 경영의 핵심 영역으로 인식하고 있다는 것이다. 한국 기업 역시 단순히 규제 준수 차원의 비용 지출을 넘어, 보안을 생존과 경쟁력 확보를 위한 경영상 전략적 투자로 전환해야 한다.
따라서 이와 같은 국내 보안 산업의 패러다임을 근본적으로 바꾸기 위해 다음 네 가지의 제도 개선 방안을 제시한다.
첫째, 정보보호 공시 제도의 적용 대상을 확대해야 한다.
과기정통부에 따르면 현재 정보보호 공시 의무 대상은 2025년 기준 671개 사로, 주로 대기업에 한정됐다. 이로 인해 다수의 중소·중견기업은 제도 밖에 머물고 있음을 알 수 있다.
그러나 사이버 위협은 기업 규모를 가리지 않으며, 보안 현황을 투명하게 공개하는 것은 투자자와 소비자의 신뢰를 높이는 핵심 수단이 된다. 현재 미국 증권거래위원회(SEC)는 모든 상장사에 사이버 보안 공시를 의무화하고, 중대한 사고 발생 시 4영업일 이내 보고를 요구하는 등 강력한 제도를 운영하고 있다. 이는 보안을 비용이 아닌 투명성과 신뢰의 문제로 인식하는 접근이다.
따라서 SEC의 제도를 국내 상황에 맞게 적절히 벤치마킹해 정보보호 공시 대상을 주권상장기업 전체(2024년 기준 2629개) 확대할 필요가 있다. 이를 통해 보안 공시가 일부 대기업에만 국한되지 않고, 산업 전반의 투명성 강화와 디지털 경쟁력 제고로 이어지도록 유도해야 한다.
둘째, ISMS·ISMS-P 등 정보보호 인증 체계의 실효성을 높여야 한다.
2025년 9월 기준 약 1161개 기업이 ISMS·ISMS-P 인증을 보유하고 있다. 이 인증은 우리 기업들의 보안 수준을 향상시키는 데 상당한 기여를 해왔다. 그러나 한편으로는 여전히 많은 기업이 '인증만 받으면 된다'는 인식에 안주했다. 이는 인증의 효과성을 떨어뜨리고 실제 보안 역량 향상에 부정적인 영향을 미친다.
따라서 단순 인증 취득 여부가 아니라 기업 규모와 특성을 반영한 점수화·성숙도 평가로 발전해야 할 것이다.
또 보안사고 시 인증이 면책 수단으로 작용하지 않도록 구조를 보완하고, 감독기관의 사후 심사와 현장 검증을 강화해야 한다. 구체적으로는 △제3자 침투시험 △현장 심사 확대 △경영진 참여 확대 △심사 전문성 제고 등이 필요하다. 이를 통해 ISMS·ISMS-P는 형식적 절차가 아니라 기업 보안 역량을 높이는 실질적 제도로 변모할 수 있을 것이다.
셋째, 산업별 보안 투자 가이드라인을 제시해야 한다.
현재 국내 기업의 IT 예산 대비 보안 투자 비율은 상대적으로 낮은 수준이며, 산업별 격차도 크다. 이러한 배경에서 과거 금융권에서 시행된 '557 원칙'은 좋은 선례다. 2011년 농협·현대캐피탈 사고 이후 도입된 이 제도는 △전체 인력의 5%를 IT 인력으로 확보 △IT 인력의 5%를 보안 인력으로 배치 △IT 예산의 7%를 보안에 투자하도록 권고했다. 비록 2020년에 일몰되었으나, 산업별 최소 보안 투자·인력·예산 기준을 제시했다는 점에서 중요한 시사점을 남겼다.
따라서 금융권의 경험을 벤치마킹해 산업별 보안 투자 가이드라인을 마련하고, 통신 등 핵심 산업부터 단계적으로 의무화해야 한다.
넷째, 전 임직원 보안 교육을 의무화해야 한다.
현재 많은 기업은 임직원 보안 교육을 법정 의무교육인 개인정보보호 교육에만 한정하고 있다. 그러나 개인정보보호 교육은 개인정보 처리 절차에 초점이 맞춰져 있어, 실제 다양한 보안 사고를 예방하기에는 한계가 있다.
실제로 보안 사고의 상당수는 기술적 취약점보다 임직원의 인식 부족과 부주의한 행동에서 비롯된다. 대표적으로 피싱 메일 클릭, 외부 저장장치 무분별 사용, 내부자에 의한 정보 유출 등이 있다. 글로벌 리서치그룹 Ponemon의 보고서에 따르면 기업에서 발생하는 보안 사고의 약 55%는 직원의 실수나 관리 부주의에서 발생하는 것으로 나타났다.
따라서 개인정보보호 교육을 넘어선 포괄적 보안 교육을 직장 내 의무화할 필요가 있다. 교육 내용은 △데이터 유출 △핵심 자산 탈취 △내부자 위협 등 주요 보안 위험을 포함해야 할 것이며, 임직원의 인식과 습관을 변화시켜 보안을 기업의 일상적 문화로 정착시키도록 설계돼야 한다.
향후 AI 강국을 지향하는 지금, '불안전한 인프라 위의 AI'는 허상에 불과하다. Security by Design이 기획 단계부터 적용될 때, AI는 단순한 경쟁력을 넘어 신뢰받는 국가 전략 산업으로 성장할 수 있다. 국가 AI 프로젝트, 공공 조달, 민간 투자 모두 보안을 기본 설계 요건으로 내재화해야 한다.
한편, 이재명 대통령은 연이은 해킹 사고에 대해 강력한 대처를 요구했다. 이는 사이버 보안은 더 이상 선택이 아닌 기업과 국가의 핵심 생존 전략이 되었음을 의미한다. 이 전략을 얼마나 신속하고 진정성 있게 실행하느냐가 대한민국의 디지털 경쟁력을 좌우할 것이다.