[사이버보안이 경쟁력]② 규제 준수하고 돈 적게 쓰면 최선?


보안 투자, 여전히 비용 취급

[김국배, 성지은 기자] "삼성페이에겐 최강의 보안 솔루션 '녹스(Knox)'가 있습니다."

삼성전자 뉴스룸 내 삼성페이 소개글에 나오는 문구다. 소개글은 "삼성페이 사용자들은 미국 국방부 수준의 보안을 제공받는 셈"이라고 녹스에 대해 설명하고 있다. 해킹 걱정없이 삼성페이를 사용해도 된다는 마케팅이다.

김승주 고려대 정보보호대학원 교수는 "삼성전자는 보안도 마케팅이 될 수 있다는 것을 인지하기 시작한 회사"라고 평가했다.

사이버 공격은 빠르게 진보하고 있지만 기업의 보안 수준은 여전히 제자리걸음이다.

삼성처럼 보안을 마케팅에 활용할 줄 아는 회사는 국내에선 극히 드물다. 중소기업뿐만 아니라 대다수 기업들이 보안을 투자보다는 줄여야 할 비용으로 보고 있기 때문이다.

그러다 보니 제품이나 서비스는 물론 기업의 인프라에 대한 보안 투자가 쉽사리 늘지 않고 있다. 기업의 자발적 정보보호 투자를 늘릴 정보보호 공시 같은 제도가 시도되고 있지만 실효성은 여전히 미지수다.

◆보안 필요성 의구심 여전…"불편만 가중" 시선도

이 같은 배경에는 기업들의 머릿 속에 보안의 필요성에 대한 의구심이 남아있기 때문으로 풀이된다.

카드 3사 개인정보 유출사고와 같은 대형 보안 사고에서도 교훈을 얻지 못한 것이나 다름없다.

실제로 한국인터넷진흥원(KISA)의 '2015년 정보보호실태조사'에 따르면 10개 중 6개 사업체가 '정보보호 사고로 인한 피해가 거의 없어 보안 관련 예산을 편성하지 않았다'고 답했다.

또 조사 사업체 10곳 중 8곳(81.4%)이 정보보호 예산을 편성하지 않은 것으로 나타났다. 이에 투자하는 기업의 투자 수준 역시 미미했다. IT 예산 중 정보보호 예산이 1% 미만인 사업체가 11.8%로 가장 많았고 10%가 넘는 경우는 0.4%에 불과했다.

이는 독일, 미국 등 정보보호 중요성이 강조되는 국가에서 통상 IT예산의 10% 정도가 정보보호 분야에 투입되는 것과 대조적이다.

더욱이 '사고가 나지 않은 기업'의 실상은 '사고를 탐지하지 못한 기업'일 가능성이 높다는 게 보안업계 정설이다. 지능형 지속공격(APT)을 받은 기업의 절반 이상이 외부 통보로 인지한다는 조사 결과도 있다.

박춘식 서울여대 정보보호학과 교수는 “우리나라 기업들은 보안이 비용이란 인식이 강하고 최고경영자(CEO)에게 보안에 대한 인식이 자리잡혀 있지 않다"며 "또한 중소기업은 영세한 탓에 보안에 신경을 못 쓰고 있다"고 말했다.

한 방송사 정보보안 담당자는 "보안의 중요도에 대해 실무자와 회사 경영자 간 온도차가 존재한다"며 "보안담당자가 아닌 직원은 보안은 불편함만 가중시킨다고 여길 정도"라고 전했다.

◆"보안, 이게 최선입니까?"

보안이 투자가 아닌 비용으로 여겨지다 보니 당연히 최우선 가치는 '보안성'이 아닌 '효율성'이 된다.

그러다 보니 기업들에게 최선의 보안은 곧 규제 준수(compliance)가 되고, 이는 보안 사고 시 면죄부가 되기까지 한다. 보안 제품이나 서비스 구매 역시 성능보다 가격에 초점을 두는 일이 벌어진다. 당연히 보안 전문 인력도 늘어나기 힘들다. 결국 돈은 적게 들이면서 법을 준수하면 보안을 잘하고 있는 셈이다.

보안업계 관계자는 "규제 중심의 보안은 국내 보안 수준을 하향 평준화시킨 주범이며, 정보보안 시장 성장 한계의 원인"이라며 "큰 틀에서 기업 보안을 자율에 맡기는 방향이 바람직하다"고 강조했다.

반면 해외 기업들은 우리보다 보안 투자에 훨씬 적극적이다. 만약 사고가 발생한 뒤 책임 소재가 인정될 경우 소비자들에게 막대한 배상을 하고 자칫 기업이 문을 닫을 수 있다는 위기의식이 깔려 있기 때문이다.

그에 비하면 국내의 경우 정부 당국이나 소비자, 시민단체 모두 보안 사고를 낸 기업에 그다지 강경한 태도를 보이지 않는다. 이 때문에 강한 채찍이 보안 인식 제고를 위해 필요하다는 목소리도 높다.

김승주 교수는 "해외 기업들은 보안 대책을 마련하는데 최선을 다한다"면서 "사고 발생 시 보안에 최선을 다했다는 것을 소송에서 입증하지 못하면 문을 닫을 수도 있다는 인식을 확실히 갖고 있다"고 지적했다.

이어 "미국은 A은행에서 사고가 2번 발생하면 B은행으로 옮겨가는데 한국은 사고가 재발해도 남아 있어 (미국 변호사들에게) 이상하게 여겨질 정도"라고 덧붙였다.

신동휘 스틸리언 기술 이사는 "우리나라는 (보안 사고를 일으킨 기업들 처벌에) 굉장히 관대하다"고 꼬집었다.

김국배기자 vermeer@inews24.com 성지은기자 buildcastle@inews24.com







포토뉴스