국내 기업의 IT 예산에서 정보보호 예산이 차지하는 비중이 5% 이상인 곳은 전체 기업의 1%밖에 안 되는 것으로 나타났다.

랜섬웨어 등 고도의 사이버 위협이 등장했지만 대다수 기업은 정보보호 예산을 '투자'가 아닌 '비용'으로 인식하고 있다는 지적을 피하기 어려워 보인다.

미래창조과학부는 한국인터넷진흥원에 의뢰해 9000개 기업을 대상으로 실시한 '2016년 정보보호 실태조사' 결과를 23일 발표했다.

조사 결과를 보면, 정보보호에 투자한다는 기업은 32.5%로 2015년 대비 13.9%포인트 증가했으나, 이들 중 대다수는 IT 예산 대비 정보보호 예산 비중이 1% 미만인 것으로 집계됐다. IT 예산 중 정보보호 예산 비중이 5% 이상인 기업은 1.1%로 2015년보다 0.3%포인트 감소했다.

2015~2016년 기업 IT 예산 대비 정보보호 예산 비중 / 미래창조과학부·한국인터넷진흥원 제공
2015~2016년 기업 IT 예산 대비 정보보호 예산 비중 / 미래창조과학부·한국인터넷진흥원 제공
이에 반해 정보보호를 얼마나 중요하게 인식하고 있는지를 묻는 질문에는 CEO 및 경영진의 83.9%가 중요하게(중요한 편, 매우 중요) 생각한다고 응답했다. 정보보호가 중요하다고 생각하지만, 예산 편성에는 인색한 국내 기업 의사결정자의 인식을 잘 드러내는 대목이다.

정보보호 제품 활용 등 침해사고 예방 노력을 기울인다는 기업은 89.8%로 전년 대비 3.7%포인트 증가했으나, 침해사고를 경험한 비율은 3.1%로 2015년보다 1.3%포인트 늘었다. 2016년 개인과 기업을 가리지 않고 기승을 부린 랜섬웨어의 탓이다. 지난해 랜섬웨어 피해를 경험했다는 기업은 18.7%로 2015년 대비 11배나 증가했다.

비용이 높지 않은 정보보호 대응환경 조성 노력은 상대적으로 개선되는 것으로 나타났다. 정보보호 정책을 수립한다는 기업은 17.1%로 2015년 대비 3.4%포인트 늘었고, 정보보호 조직을 운영하고(11.0%) 교육을 실시(18.5%)한다는 기업도 작년보다 각각 3.1%포인트씩 증가했다.

기업들은 4차 산업혁명을 주도할 신규 서비스에 대해 '정보유출'을 가장 큰 보안 위협으로 인식하고 있다고 응답했다. 그럼에도 여전히 정보보호 활동 시 가장 큰 걸림돌로는 예산과 전문인력 확보 문제를 꼽았다.

허성욱 미래부 정보보호기획과장은 "지난해 경기가 좋지 않았던 관계로 대다수 기업들이 정보보호를 위해 필요한 최소한의 투자와 정부 규제를 충족하는 수준에 그쳤다"며 "대부분의 기업들이 보안 사고를 직접 경험하지 않았다는 이유로 정보보호의 필요성을 느끼지 못하는 것으로 보이는데, 이러한 인식을 개선하기 위한 조치 마련이 시급하다"고 말했다.