글
작년 기업 절반 "정보보호 위해 돈쓴적 없어"
"기업들이 적은돈 아끼려다 낭패볼수도" 지적
정부 IT예산중 정보보호 부분은 고작 2~3%
국내 최대의 인터넷 거래 사이트 옥션에는 보안 전담 부서도 보안 전문가도 없었다. 인터넷 시스템 전반을 관리하는 부서에서 보안 업무까지 맡고 있었다. 게다가 실제 운영은 외부에 아웃소싱(outsourcing) 하는 형태였다. 옥션은 지난 2월 초 1081만명이 넘는 고객 정보가 유출되고 나서야 부랴부랴 보안 전문가 2명을 외부에서 스카우트했다. 옥션은 금융거래망이 다운됐을 때를 대비해 예비 서버(server)를 따로 둘 정도로 인터넷 시스템 구축에 심혈을 쏟았지만 해킹방지 투자는 낙제점이었다.
대기업들도 임원급 CSO(Chief Security Officer·보안최고책임자)를 두는 경우는 거의 없다. 본지가 매출 기준으로 상위 20대 대기업을 대상으로 조사를 실시한 결과, 삼성전자·LG전자 등 대부분 대기업들이 경영지원본부의 산하에 부장급 인사를 팀장으로 하는 소규모 전담팀을 두고 있는 정도다.
공공기관도 크게 다르지 않다. 은행 통합전산망을 관리하는 금융결제원의 경우, 보안 관련 부처의 역대 간부직 중 상당수가 비(非)전문가 출신이다. 구매나 인사 등 관련 업무를 주로 하다가 승진이나 순환 보직에 따라 보안 업무를 맡는다.
◆인색한 정보보호 투자
이 같은 사례에서 보듯 한국은 다른 IT 분야에 비해 정보보호에 대한 투자는 매우 인색하다. 2008년 미국 연방정부의 정보보호 관련 예산은 약 60억 달러(약 6조원)로 전체 IT 예산의 9.2%에 달하는 반면, 한국은 전체 정부 IT예산에서 차지하는 비중이 고작 2~3%에 불과하다. 지방자치단체를 포함한 정부 부서에서 전담 부서를 설치하고 있는 비중도 고작 11.8%에 불과한 실정이다.(2008년 국가정보보호백서)
기업들도 당장 매출에 직결되지 않는 보안 투자를 꺼리는 경향이 강하다. 최근 개인정보 유출사태를 빚었던 LG텔레콤의 경우, 서버 시스템에 가장 기본적인 보안 장비인 방화벽조차 설치하지 않았다는 사실이 경찰 수사 결과에서 드러났다. 그만큼 보안 투자에 인색하다는 이야기다. 한국정보보호진흥원이 작년 종업원 5인 이상 기업 2500곳에 대해 표본조사를 실시한 결과, 전체의 절반이 넘는 50.8%가 '정보보호에 대한 지출이 전혀 없다'고 답했다.
보안전문가인 최운호 박사는 "대기업조차도 당장 수익을 내지 않는 보안 투자에는 매우 인색한 편"이라며 "24시간 모니터링 시스템 같은 것을 운영하는 기업들은 손에 꼽을 정도"라고 말했다. 오석주 안철수연구소 대표는 "해외 공공기관이나 기업에서는 IT 투자에서 보안이 차지하는 비중이 적어도 2순위 안에는 들지만 우리는 6순위 내지 7순위"라면서 "옥션 사고 이후 여기저기서 문의는 많이 하지만 보안 시스템을 구매하는 기업은 거의 없다"고 말했다.
이런 이유 때문에 한국의 보안 산업은 IT 선진국이라는 명성에 걸맞지 않게 외국에 비해 크게 뒤처져 있다. 현재 국내에는 150개가 넘는 보안업체들이 난립해 있지만, 안철수연구소 등 일부 업체를 제외하고는 겨우 이름만 유지할 뿐이다. 여기에 보안 업무는 24시간 365일 내내 교대근무를 해야 하는 등 IT의 3D 업종으로 꼽히기 때문에 우수 인력을 채용하는 것도 매우 힘들다. 한국정보보호진흥원 황중연 원장은 "우수한 인재들이 정보보호 관련 전공을 기피하고 있어 기업체 보안 업무 채용 인력 중 대부분이 다른 분야를 전공했거나 아니면 경력직으로 충원되고 있다"고 말했다.
◆해킹 사고 발생하면 기업들 '쉬쉬'
이런 상황에서 해킹 등 보안 사고가 발생하면 금세 국가 전체의 기간망이 마비되는 대형 사고로 연결될 수 있다고 전문가들은 지적한다. 한국정보보호원 인터넷침해사고대응센터 김우한 본부장은 "2003년 1·25 인터넷 대란 당시 인터넷 바이러스 때문에 국가 통신망이 완전히 마비됐었다"면서 "기업들이 적은 돈을 아끼려다가 낭패를 볼 수 있다"고 말했다.
특히 최근 들어 국내 전산망에 대한 해킹 등 공격 시도 건수가 하루 평균 200만건으로 2월(평균 81만건)에 비해 2배 이상 급증하는 점을 감안하면 정보보호 소홀에 따른 위험이 갈수록 높아지고 있는 상황이다. 실제로 존에이치(Zone-h) 같은 국제 해킹 커뮤니티 사이트에 들어가 보면 해킹 당한 국내 기업 사이트의 사진이 버젓이 올라와 있다. 해커들이 전리품처럼 자신의 능력을 과시하는 것이다.
더욱 문제는 해커들이 단순히 자신의 능력을 과시하는 수준을 넘어서 기업에서 빼낸 정보를 미끼로 돈을 요구하는 등 갈수록 범죄화되고 있다는 사실이다. 이럴 경우 대다수 기업들은 해킹 사실이 외부에 알려지는 것을 우려해 결국 해커의 요구에 굴복하고 만다는 것이다. 한 외국 장비업계 관계자는 "국내 기업들은 해킹을 당하면 근본적인 문제를 해결하기보다는 쉬쉬하면서 해커들의 요구를 들어주는 사례가 허다하다"면서 "이 때문에 한국이 중국 등 해외 해커들의 집중적인 표적이 되는 것은 아닌지 우려된다"고 말했다.
이 같은 사례에서 보듯 한국은 다른 IT 분야에 비해 정보보호에 대한 투자는 매우 인색하다. 2008년 미국 연방정부의 정보보호 관련 예산은 약 60억 달러(약 6조원)로 전체 IT 예산의 9.2%에 달하는 반면, 한국은 전체 정부 IT예산에서 차지하는 비중이 고작 2~3%에 불과하다. 지방자치단체를 포함한 정부 부서에서 전담 부서를 설치하고 있는 비중도 고작 11.8%에 불과한 실정이다.(2008년 국가정보보호백서)
기업들도 당장 매출에 직결되지 않는 보안 투자를 꺼리는 경향이 강하다. 최근 개인정보 유출사태를 빚었던 LG텔레콤의 경우, 서버 시스템에 가장 기본적인 보안 장비인 방화벽조차 설치하지 않았다는 사실이 경찰 수사 결과에서 드러났다. 그만큼 보안 투자에 인색하다는 이야기다. 한국정보보호진흥원이 작년 종업원 5인 이상 기업 2500곳에 대해 표본조사를 실시한 결과, 전체의 절반이 넘는 50.8%가 '정보보호에 대한 지출이 전혀 없다'고 답했다.
보안전문가인 최운호 박사는 "대기업조차도 당장 수익을 내지 않는 보안 투자에는 매우 인색한 편"이라며 "24시간 모니터링 시스템 같은 것을 운영하는 기업들은 손에 꼽을 정도"라고 말했다. 오석주 안철수연구소 대표는 "해외 공공기관이나 기업에서는 IT 투자에서 보안이 차지하는 비중이 적어도 2순위 안에는 들지만 우리는 6순위 내지 7순위"라면서 "옥션 사고 이후 여기저기서 문의는 많이 하지만 보안 시스템을 구매하는 기업은 거의 없다"고 말했다.
이런 이유 때문에 한국의 보안 산업은 IT 선진국이라는 명성에 걸맞지 않게 외국에 비해 크게 뒤처져 있다. 현재 국내에는 150개가 넘는 보안업체들이 난립해 있지만, 안철수연구소 등 일부 업체를 제외하고는 겨우 이름만 유지할 뿐이다. 여기에 보안 업무는 24시간 365일 내내 교대근무를 해야 하는 등 IT의 3D 업종으로 꼽히기 때문에 우수 인력을 채용하는 것도 매우 힘들다. 한국정보보호진흥원 황중연 원장은 "우수한 인재들이 정보보호 관련 전공을 기피하고 있어 기업체 보안 업무 채용 인력 중 대부분이 다른 분야를 전공했거나 아니면 경력직으로 충원되고 있다"고 말했다.
◆해킹 사고 발생하면 기업들 '쉬쉬'
이런 상황에서 해킹 등 보안 사고가 발생하면 금세 국가 전체의 기간망이 마비되는 대형 사고로 연결될 수 있다고 전문가들은 지적한다. 한국정보보호원 인터넷침해사고대응센터 김우한 본부장은 "2003년 1·25 인터넷 대란 당시 인터넷 바이러스 때문에 국가 통신망이 완전히 마비됐었다"면서 "기업들이 적은 돈을 아끼려다가 낭패를 볼 수 있다"고 말했다.
특히 최근 들어 국내 전산망에 대한 해킹 등 공격 시도 건수가 하루 평균 200만건으로 2월(평균 81만건)에 비해 2배 이상 급증하는 점을 감안하면 정보보호 소홀에 따른 위험이 갈수록 높아지고 있는 상황이다. 실제로 존에이치(Zone-h) 같은 국제 해킹 커뮤니티 사이트에 들어가 보면 해킹 당한 국내 기업 사이트의 사진이 버젓이 올라와 있다. 해커들이 전리품처럼 자신의 능력을 과시하는 것이다.
더욱 문제는 해커들이 단순히 자신의 능력을 과시하는 수준을 넘어서 기업에서 빼낸 정보를 미끼로 돈을 요구하는 등 갈수록 범죄화되고 있다는 사실이다. 이럴 경우 대다수 기업들은 해킹 사실이 외부에 알려지는 것을 우려해 결국 해커의 요구에 굴복하고 만다는 것이다. 한 외국 장비업계 관계자는 "국내 기업들은 해킹을 당하면 근본적인 문제를 해결하기보다는 쉬쉬하면서 해커들의 요구를 들어주는 사례가 허다하다"면서 "이 때문에 한국이 중국 등 해외 해커들의 집중적인 표적이 되는 것은 아닌지 우려된다"고 말했다.
RECENT COMMENT