국방비 40조원 중 정보화예산 1% 불과...사이버안보 예산은?

정부부처의 보안예산도 지난해보다 감소...기업으로 파급 이어져

[보안뉴스 성기노 객원기자] 한국은 사이버전 분야의 후발주자로서 사이버 국방력을 키우기 위한 인력. 예산 투자 문제도 늘 지적되곤 한다. 단순 비교해 봐도 북한의 사이버사령부 인원은 6000명, 중국은 10만명인데, 한국은 고작 600명에 지나지 않는다. 또한, 2014년 일본의 사이버사령부 첫해 예산은 2000억원, 1인당 20억원인데 한국은 1인당 1억원 밖에 안 된다는 통계도 있다. 이렇듯 사이버 전쟁 대비 투자는 아직까지 상당히 ‘낙후’돼 있다.

40조원대의 올해 국방비 가운데 ‘국방정보화’ 예산 비중은 1%대에 불과한 것으로 알려졌다. 이 가운데 실제로 사이버 안보에 쓰이는 예산은 더 미미할 것이라는 게 보안업계의 지적이다. 더욱이 정부는 북한의 전방위 사이버공격이 이어지고 있는데도 올해 정보보호 예산을 오히려 줄인 것으로 전해진다.

정부부처의 올해 정보보호 예산은 지난해(3379억원)보다 8.19% 줄어든 3102억원으로 책정됐다. 관련 정보보호 예산은 서비스, 보안 제품 등 전 분야에서 삭감됐다. 정보보안 서비스 관련 예산은 지난해 1300억원에서 1095억원으로, 정보보안 제품 관련 예산은 977억원에서 901억원으로 줄었다. 2014년 말 한국수력원자력 원전 도면 유출 사고, 2015년 서울메트로 서버·PC 해킹 이후 설비 투자 등으로 2016년 예산을 대폭(전년 대비 32.8%) 늘렸기 때문에 올해 예산은 전년보다 약간 줄었다는 게 미래부 측의 설명이다.

정부의 이러한 예산 삭감 파장은 기업으로도 이어지고 있다. 지난해 국내 기업들의 3% 이상이 정보보호 침해사고를 겪을 정도로 사이버위협이 커졌지만 보안에 대한 투자액은 오히려 줄어든 것으로 나타났다. 기업들이 정보보호 분야에 대한 투자를 여전히 ‘비용’으로 생각해 예산확보에 어려움을 겪고 있다는 지적이다.

미래창조과학부와 한국인터넷진흥원(KISA)이 발표한 ‘2016년 정보보호 실태조사’ 결과에 따르면 지난해 9000여개 IT기업 중 정보기술(IT) 예산 중 정보보호 예산 비중이 5% 이상인 기업은 1.1%로 전년보다 0.3%포인트 감소했다. 단순히 정보보호 예산항목을 편성한 곳은 전년 18.6%보다 13.9% 증가한 32.5%로 늘었다. 이 중에서 1~5% 미만 투자하는 곳은 전체의 8.1%, 1% 미만 투자하는 곳은 23.3%로 조사됐다.

특히, 전체 IT 예산의 7% 이상을 정보보호에 투자해 정부 기준으로 ‘모범기업’에 해당하는 곳들은 전년 1.2%보다 0.5%포인트 감소한 0.7%로 나타났다. 100개 기업 가운데 1개도 제대로 정보보호 분야에 대한 투자를 하지 않는다는 얘기다. 충격적인 결과라고 할 수 있다. 전문가들은 대형 보안 사고가 터진 뒤에야 정부나 기업이 예산을 늘리거나 인력충원을 하는 등 ‘쇼’를 벌이다가 사고가 잊혀질 때쯤 되면 슬며시 예전의 상태로 되돌아간다고 한다.

현재 우리의 정보보안 실태는 방어망이 가장 두터운 것으로 알려진 국방부 내부망까지 뚫린 전력이 있을 정도로 취약한 편이다. 국방부가 뚫렸다면 청와대 등 다른 중요 시설도 뚫리지 말라는 보장이 없다. 사이버공격을 막기 위해선 보안 솔루션과 전문인력에 대한 꾸준한 투자만이 살 길이라는 게 보안업계의 공통된 인식이다.

정부의 정보보안 예산이 줄어든다면 한국의 보안 시장 구조상 그 여파는 그대로 업계로 이어질 수밖에 없다. 보안업계의 매출 70% 이상이 정부 사업에서 나오는데 그 예산이 줄어들면 기업의 사업계획도 자연히 줄어들 수밖에 없기 때문이다. 또한, 보안 예산이 줄어들면 보안 소프트웨어도 저가 제품을 선택할 수밖에 없고, 이는 곧 날로 고도화되어 가는 해킹에 쉽게 뚫리는, 그런 악순환이 계속될 수밖에 없다. 100원 아끼려다 1억원이 순식간에 날아가는 게 정보보안의 현실이기 때문이다.
[성기노 객원기자(kino@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)