잇딴 해킹사태에도…정부·기업, 여전한 ‘보안 불감증’ [뚫리는 韓, 멈춰 선 보안]

사이버 침해 전년比 15% 증가 불구
과기부 정보보호 예산비중은 줄어
대응 역량 갖춘 기업 3% 수준 그쳐

잇따른 해킹 사고에도 정부와 기업의 보안 불감증은 여전히 해소되지 않고 있다. SK텔레콤과 예스24, 롯데카드, KT 등 줄줄이 사고가 터졌음에도 옹벽을 쌓기는커녕 뚫린 구멍조차 제대로 막지 않을 정도다.

11일 한국인터넷진흥원(KISA)에 따르면 올해 상반기 국내 사이버 침해사고 신고 건수는 총 1034건으로 전년 동기 대비 15% 증가했다. 최근 3년 사이 신고 건수가 가파르게 증가하면서 올해 하반기에는 2000건에 육박할 것으로 전망된다.

상반기 증가세는 실제 대형 사고로 이어졌다. 1월 GS25 홈페이지가 공격을 받아 9만여 건의 개인정보가 유출된 사건을 시작으로 4월에는 가입자 2300만 명을 보유한 SK텔레콤에서 대규모 유심 정보 유출 사고가 발생했다. 회원 960만 명을 보유한 롯데카드에서도 해킹 사고로 개인정보 유출 우려가 불거졌고 KT는 가입자를 대상으로 한 소액결제 해킹 피해가 확산 중이다. 이와 동시에 미국 보안 전문지 프랙(Phrack)은 KT와 LG유플러스의 해킹 정황까지 제기해 유통·통신·금융 전방위로 보안 공백이 드러났다.

문제는 정책과 예산이 이런 현실을 따라가지 못한다는 점이다. 과학기술정보통신부는 내년도 정보보호 예산을 3360억 원으로 편성했다. 올해보다 8% 늘어난 규모지만 전체 예산에서 차지하는 비중은 오히려 줄었다. 올해 과기정통부 예산 중 정보보호 예산이 차지하는 비중은 1.48%이었으나 내년에는 1.41%로 낮아지는 것. 예산 규모는 늘었지만 상대적 비중이 줄어든 만큼 정보보호의 우선순위가 밀린 것으로 해석된다. 과기정통부의 내년도 예산안은 국회 예산결산특별위원회 심사, 본회의 의결을 거쳐 12월 확정될 예정이다.

정부 차원의 지원 비중이 줄어드는 가운데 민간 기업들의 보안 역량 역시 취약한 것으로 나타났다. 시스코가 발표한 ‘2025 사이버 보안 준비 지수 보고서’에 따르면 국내 기업 가운데 사이버 위협을 효과적으로 방어할 수 있는 ‘성숙 단계’에 도달한 곳은 3%에 불과했다. 또한 국내 기업의 33%만이 IT 예산의 10% 이상을 보안에 사용하고 있으며 응답 기업의 46%는 향후 1~2년 내 사이버 사고로 인해 비즈니스 차질이 불가피할 것이라고 전망했다.

이상근 고려대 정보보호대학원 교수는 “정부의 보안 예산은 늘 후순위로 밀려 있고 전체 예산에서 차지하는 비중도 작아 기술 개발에 비해 뒷전으로 밀리고 있다”며 “보안을 소홀히 여긴다면 공백은 더 커지고 위험은 누적될 수밖에 없다”고 지적했다.