정보기술(IT) 강국 대한민국이 위태롭다. 최근 들어 국내 최대 이동통신사 SK텔레콤을 시작으로 예스24, 파파존스, 써브웨이, 디올 등 다양한 기업의 정보 유출 사고가 잇따르면서 위기감이 고조되고 있다. 기술 투자에 급급한 나머지 보안이라는 기본사항을 준수하지 않는다는 지적이 나온다.
실제로 국내 다른 기업들도 마찬가지지만 IT 기업들은 IT가 앞에 붙는 데도 정보보안 투자액은 IT 투자액의 10% 수준에 그쳐 선진국에 한참 미치지 못한다. 다만 SK텔레콤이 5년간 7000억원, KT가 5년간 1조원을 보안에 투자하기로 결정하는 등 최근 들어 변화의 움직임이 일고 있다.
염흥열 순천향대 정보보호학과 명예교수는 보안 투자를 활발히 진행하는 기업에 세제 혜택 등 인센티브를 부여하는 것이 투자 활성화 대안이 될 수 있다고 제언했다. 염 교수는 국제전기통신연합 전기통신표준화부문 정보보호연구반(ITU-T SG17) 국제 의장을 역임했으며, 지난해 민관이 함께 구성한 개인정보보호책임자(CPO) 대표 기구인 한국CPO협의회의 초대 회장으로 선임된 전문가다.
염 교수는 “정보보호 의무공시 제도가 도입돼 통계로도 확인할 수 있지만, 우리나라 기업들의 IT 투자액 대비 정보보호 투자 비중은 10%가 채 안되는데, 미국 IT 기업의 경우 20% 수준”이라며 “외국의 경우 사이버 보안 사고가 발생하면 징벌적 손해배상제도에 따라 이용자에 대한 보상에 적극적으로 나서기 때문에 우리나라는 기업의 책임에 있어서도 뒤처진다”고 지적했다.
그는 “미국의 이동통신사 T-모바일에서도 2021년 개인정보 유출 사고가 발생했는데, 재판까지 가지 않고 이용자들과 대규모 배상에 합의한 적이 있다”고 소개했다.
염 교수는 “현재 우리나라에서는 개인정보보호법에 의거해 개인정보 유출 등 위반행위에 대한 과징금을 전체 매출의 3%까지 부과할 수 있다”며 “이에 따른 SK텔레콤의 과징금은 5000억원 내외로 결정될 전망인데, 보상안이나 과징금 말고도 소비자 신뢰가 급격하게 하락하기 때문에 이를 극복하기 위한 노력이 크게 들 것”이라고 내다봤다.
그러면서 그는 “장기적인 관점에서 기업의 정보보호 투자는 활성화될 필요가 있으나 정부가 강제할 방법은 없다”며 “정보보호 관련 투자를 많이 한 기업에 세제 혜택 등 인센티브를 주는 것이 활성화 방안 중 하나”라고 제안했다.
해커의 공격을 방어하는 시스템 투자도 중요하지만 정보보호 관련 전문인력을 양성하는 인적 투자도 중요하다고 언급했다. 실제로 최근 각 기업은 업계 전문가를 정보보호최고책임자(CISO)와 CPO로 영입하는데 공들이고 있다.
염 교수는 “기업과 대학이 협력하거나 기존 IT 인력을 정보보호 인력으로 전환하는 것, 외부 IT 전문가를 CISO나 CPO로 영입하는 등 3가지 방법이 있다”며 “사이버 보안 인력 부족은 전세계 공통이기 때문에 대학에서부터 일관성 있는 교육과정을 통해 인력을 양성하는 것이 바람직해 보인다”고 말했다. 대표적으로 LG유플러스가 숭실대에 정보보호학과를 채용연계형 계약학과로 신설한 사례를 들었다.
염 교수는 끝으로 “우리나라의 디지털 전환 속도가 빠르다 보니 해킹과 랜섬웨어 공격이 많아지고 있다”며 “SK텔레콤 정보유출 사고가 우리나라의 정보보호 투자를 확대하는 계기가 되길 바란다”고 전했다.
이화연 기자 hylee@segye.com
염흥열 순천향대 정보보호학과 명예교수. 순천향대 제공
