IT업계, 보안 ‘투자 아닌 비용’ 인식 여전… 예산 자율에 맡긴다

[마이데일리 = 박성규 기자] AI·클라우드 확산으로 업계에 사이버 위협이 커지고 있지만, 보안 투자는 여전히 뒷전이다. 정보보호 예산과 인력은 전체 IT 자원의 5%대에 불과하다.

10일 IT업계에 따르면, 한국인터넷진흥원(KISA) 정보보호 공시 자료를 분석한 결과 지난해 국내 정보통신업종 기업 128곳의 평균 정보보호 투자 비중은 전체 IT 예산의 5.6%에 그쳤다. 보안 전담 인력 비중도 5.55%로, 전체 업종 평균(6.05%, 6.19%)에 못 미쳤다.

보안 사고를 겪은 기업도 예외는 아니었다. 지난해 SK텔레콤과 SK브로드밴드의 합산 정보보호 투자액은 867억원으로, 이동통신 3사 중 가장 낮았다. 가입자 수는 가장 많았지만, 1인당 투자액은 최저 수준이었다.

AI와 클라우드 등 신기술 도입이 늘면서 보안 위협도 빠르게 진화하고 있다. 그러나 기업들은 수익성이 높은 신사업에 예산을 우선 배정한다. 아마존웹서비스(AWS)가 최근 발표한 ‘CIO·CTO 보고서’에 따르면, 국내 기업의 54%는 생성형 AI에 집중 투자하는 반면 보안 분야는 20%만이 우선순위로 삼고 있는 것으로 나타났다.

보안 성숙도도 낮은 수준에 머물고 있다. 시스코가 국내 기업을 대상으로 진행한 ‘사이버 보안 성숙도 보고서’에 따르면, 전체 기업 중 단 3%만이 ‘성숙 단계’로 분류됐다. 이는 지난해 4%보다 오히려 낮아진 수치다.

조사에 참여한 국내 기업 83%가 AI 관련 보안 사고를 경험했지만, 보안 예산의 10% 이상을 할당한 기업은 33%에 불과했다. 디지털 전환은 가속화되고 있지만, 이를 지탱할 보안 역량은 부족한 실정이다.

정부는 기업의 보안 투자 확대를 유도하기 위해 가이드라인 강화에 나섰다. 개인정보보호위원회는 기업 IT 예산의 최소 10% 이상을 정보보호에 투자하도록 권고하고 있으며, 2030년까지 15%까지 확대하는 방안을 검토 중이다.

과학기술정보통신부도 최근 KISA, 한국정보보호산업협회(KISIA)와 함께 간담회를 열고 보안 산업 생태계 육성과 기업 투자 확대를 위한 정책을 논의했다.

보안업계와 전문가들은 결국 기업 경영진의 인식 전환이 관건이라고 입을 모은다. 보안을 비용으로 보는 관행이 여전하고, 사고가 나기 전에는 예산 확보가 어려운 구조라는 지적이다. 특히 보안은 수익 창출과 직접 연결되지 않아 경기 침체 시 가장 먼저 삭감되는 항목으로 꼽힌다.

국내 애플리케이션 보안 시장은 연평균 15% 넘는 성장세를 보이며 2025년 10억달러 규모에 이를 것으로 전망된다. 네트워크 보안 서비스 시장도 2033년까지 두 배 이상 성장할 것으로 예상된다. 그러나 이러한 시장 성장과 달리 기업의 실질적인 보안 투자가 따라가지 못하면, AI·클라우드 등 디지털 생태계 전체가 위협받을 수 있다는 우려도 커지고 있다.

IT업계 관계자는 “보안은 성과가 바로 보이지 않기 때문에 경영진이 투자 우선순위에서 미루기 쉽다”며 “하지만 AI나 클라우드처럼 눈에 띄는 기술일수록, 이를 뒷받침할 보안 체계가 무너지면 모든 사업이 위험해질 수 있다는 점을 경영진이 인식해야 한다”고 말했다.