article_right_top
정보보호의 중요성을 인정하면서도 실제 투자와 대응은 따라가지 못하는 ‘이중 구조’가 국내 기업 전반에 고착된 것으로 나타났다. 사이버 위협이 고도화되는 상황에서, 인식과 실행 간 간극이 오히려 새로운 리스크로 부상하고 있다는 분석이다.
과학기술정보통신부는 정보보호산업 협회와 함께 실시한 ‘2025년 정보 보호 실태조사’ 결과를 공개하며, 기업과 개인 모두에서 보안 인식은 높지만 실제 대응 역량은 여전히 취약한 수준이라고 밝혔다. 조사에 따르면 기업의 80% 이상이 정보보호를 중요하게 인식하고 있었지만, 실질적인 대응 기반은 이에 미치지 못했다. 절반 가까운 기업이 예산 확보를 가장 큰 어려움으로 꼽았고, 시스템 운영과 적절한 보안 솔루션 선택 역시 주요 부담 요인으로 나타났다.
특히 정책과 교육, 조직 등 기본적인 보안 체계조차 충분히 갖춰지지 않은 기업이 적지 않았다. 내부 규정이나 정책을 보유한 기업은 절반 수준에 그쳤고, 정기적인 보안 교육을 시행하는 곳은 3곳 중 1곳에 불과했다. 규모가 작은 기업일수록 이러한 격차는 더욱 크게 나타났다. 조직 운영 측면에서도 한계가 확인됐다. 보안 업무를 수행한다고 응답한 기업 중에서도 전담 조직을 갖춘 경우는 3분의 1 수준에 머물렀고, 상당수는 다른 업무와 병행하는 ‘겸임 구조’에 의존하고 있었다. 이는 위기 발생 시 신속 대응을 어렵게 만드는 구조적 취약점으로 지적된다.
투자 역시 제한적이다. 전체 기업의 절반가량만이 정보보호 예산을 사용하고 있었으며, 그마저도 신규 투자보다는 기존 시스템 유지·보수나 감시장비 설치에 집중된 것으로 나타났다. 반면 예산을 쓰지 않는 기업들은 ‘업무와 무관하다’거나 ‘무엇을 해야 할지 모른다’는 이유를 들며 보안 대응 자체를 미루고 있었다. 더 큰 문제는 ‘보이지 않는 침해’다. 실제 침해사고를 경험했다고 응답한 기업은 극히 적었지만, 상당수는 침해 여부 자체를 인지하지 못하고 있는 것으로 나타났다. 이는 사고가 없어서가 아니라 탐지 능력이 부족할 가능성을 시사하며, 잠재적 위험이 통계 밖에 존재하고 있음을 의미한다.
사고 발생 이후 대응도 미흡했다. 침해를 경험한 기업 중 관련 기관에 신고한 비율은 30% 수준에 그쳤으며, 기업 규모가 작을수록 신고율은 더 낮아지는 경향을 보였다. 이는 피해 확산을 막기 위한 공적 대응 체계가 충분히 활용되지 않고 있음을 보여준다. 개인 영역에서도 유사한 흐름이 확인됐다. 국민 대다수가 정보보호에 높은 관심과 우려를 보였고, 상당수가 사이버 침해를 실제로 경험한 것으로 나타났다. 특히 모바일 기기 해킹이 가장 흔한 유형으로 조사되며, 일상 생활 속 디지털 위험이 현실화되고 있음을 보여준다.
그럼에도 불구하고 피해 신고는 절반에도 미치지 못했다. 많은 이용자들이 피해가 크지 않다고 판단해 신고를 하지 않는 것으로 나타났는데, 이는 작은 침해가 반복적으로 누적될 수 있는 구조를 방치하는 결과로 이어질 수 있다. 이번 조사 결과는 단순한 인식 조사 수준을 넘어, 국내 보안 체계가 ‘알고 있지만 행동하지 않는 상태’에 머물러 있음을 드러낸다. 전문가들은 보안이 선택이 아닌 필수 인프라로 자리 잡은 만큼, 인식 개선을 넘어 실제 투자와 실행을 끌어내는 정책 전환이 시급하다고 지적한다.
과기정통부 임정규 정보보호네트워크정책관은“정보 보호 실태조사는 개인 및 기업의 정보 보호 인식과 현황, 침해 경험 및 대응 활동 등을 종합적으로 측정하는 조사”로 “단순 사고 발생 통계를 넘어 산업 전반의 보안 역량 수준을 진단하고 중장기 정보 보호 정책 수립을 위한 기초자료로 활용된다”라고 말했다. 이어“고도화되는 사이버 위협에 효과적으로 대응하기 위해 정부는 정보 보호 역량을 지속적으로 강화해 나가겠다”라고 밝혔다.
-심해영기자
심해영기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
