IT예산 대비 정보보호에 5% 이상 투자하는 기업 ‘1%’ 불과
침해사고를 경험한 기업이 늘어났음에도 국내 기업의 IT 예산 대비 정보보호 투자 비중은 여전히 제자리걸음이다. 지난해 IT 예산에 비해 5% 이상을 정보보호 예산으로 편성한 기업은 전년도 수준에도 못 미친 1.1%(0.3%↓)에 불과한 것으로 나타났다. 그나마 지난해 정보보호에 투자한 기업은 2015년 대비 소폭 늘었다.
미래창조과학부가 한국인터넷진흥원(KISA)에 의뢰해 종사자 1인 이상 기업 9000개 사업체와 개인 4000명을 대상으로 실시한 ‘2016년 정보보호 실태조사’ 결과다.
지난해 정보보호에 투자한 기업은 32.5%로 전년대비 13.9% 증가했다. IT 예산 대비 정보보호 예산을 1% 미만으로 운영한 곳은 23.3%나 되고, 1~3% 미만 6.2%, 3~5% 미만 1.9%, 5~7% 미만 0.4% 순으로 나타났다. 10% 이상 IT 예산에 비해 정보보호에 10% 이상 투자하는 곳은 0.1%에 불과하다.
정보보호 예산을 편성하지 않은 이유로는 ‘피해가 없어 필요성을 못느낀다’는 응답률이 58.4%나 됐고 ‘정보보호 방법을 모른다’고 답한 곳도 29%에 달했다.
다만 정보보호 정책(17.1%)을 수립하거나 조직(11%)을 운영하고 교육(18%)을 실시한 기업은 각각 3%씩 증가했다.
기업의 정보보호 제품 이용률은 89.8%로 전년 대비 3.7% 늘었다. 정보보호 서비스 이용률 역시 전년 대비 16.3% 증가한 40.5%에 달했다.
침해사고 경험한 기업과 관련 신고도 함께 증가했다. 작년에 침해사고를 경험한 기업은 3.1%로 전년 대비 1.3% 상승했고, 관련 신고율은 전년 대비 1% 높아진 9.2%로 집계됐다.
침해사고 유형으로는 악성코드 공격이 91%로 가장 많았으며, 애드웨어·스파이웨어 감염 19.7%, 랜섬웨어 18.7% 순으로 나타났다. 랜섬웨어로 인한 침해사고 경험률은 전년도(1.7%)에 비해 무려 11배나 급증했다.
기업들은 사물인터넷(IoT), 클라우드 등 신규 서비스 확산에 따른 가장 큰 보안위협으로 ‘정보유출’ 문제를 지목했다.
IoT 서비스에서는 정보유출(57.5%) 외에도 해킹 및 악성코드 감염(56.4%), 무선신호 교란 및 장애(51.8%)를 우려하고 있다.
클라우드 서비스 보안위협으로는 정보유출(77.1%)을 비롯해 서비스 장애시 피해(13.9%), 분산처리에 따른 보안 적용 어려움(4.5%)을 꼽았다.
개인부문에서는 국민 대부분이 정보보호가 중요하다고 인식(94.1%)하고 있으며, 정보보호를 위한 제품 이용(84.3%, 0.5%p↑), 백신 업데이트(94.5%, 2.4%p↑) 등의 예방활동이 증가했다.
악성코드 감염, 개인정보 유출 및 사생활 침해 등의 침해사고 경험(17.4%, 3.9%p↑)이 늘었다. 보안 소프트웨어 설치, 비밀번호 변경 등 침해사고 대응활동(86.2%, 10.8%p↑) 활동하는 이용자 비율도 증가했다.
개인 사용자들은 IoT, 빅데이터 등 신규서비스 확산으로 나타날 수 있는 다양한 보안위협 중 개인정보 침해 우려가 가장 큰 것으로 나타났다.
한편, 미래부는 이번 실태조사 결과를 기업과 일반 국민의 정보보호 예방 및 대응활동이 전반적으로 향상됐다는 점에서 대체로 긍정적으로 평가했다.
송정수 미래부 정보보호정책관은 “기업과 개인들의 정보보호 인식수준이 높고, 보안제품 이용 증가 등 예방조치도 꾸준히 늘고 있는 것은 우리 사회가 안전한 인터넷 환경으로 가고 있다는 청신호로 해석된다”고 말했다. 이어 송 정책관은 “정보보호 정책수립, 조직운영, 예산편성 등 기업들의 정보보호 대응환경 개선 노력이 증가한 것에 대해 긍정적으로 평가한다”고 덧붙였다.
그는 “그럼에도 불구하고 침해사고율 역시 증가했는데, 이는 랜섬웨어와 같은 신종 공격기법이 늘어나 영향을 미친 것으로 파악된다”며 “정부·기업·이용자 등 각 주체 간 유기적 협력을 통한 사전 예방이 필요하다”고 지적했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network