해킹 위협 급증하는데 정보보호 예산 쓰는 기업은 절반뿐
과학기술정보통신부의 2025년 정보보호 실태조사 결과, 기업의 80%가 정보보호를 중요하다고 인식하면서도 실제 예산을 사용하는 곳은 54.8%에 불과한 것으로 나타났다. 예산 미사용 기업들은 '정보보호 예산 확보'를 가장 큰 애로사항으로 꼽았으며, 침해사고를 인지하지 못한 기업이 7.5%에 달해 탐지 역량 강화의 필요성이 대두됐다.
과학기술정보통신부가 발표한 2025년 정보보호 실태조사 결과에 따르면, 사이버 위협이 날로 심각해지는 가운데도 국내 기업들의 정보보호 투자 현황이 심각한 수준으로 드러났다. 조사에 참여한 전체 기업 중 정보보호 예산을 실제로 사용하는 곳은 54.8%에 불과했으며, 예산을 배정하지 않은 기업들이 절반에 가까운 것으로 나타났다. 이는 정보보호의 중요성을 인식하면서도 실제 투자로 이어지지 못하는 국내 기업들의 모순된 현실을 여실히 보여준다. 과기정통부는 이번 조사를 통해 기업 5500개와 국민 3000명을 대상으로 2024년 정보보호 인식 및 침해사고 현황을 파악했다.
기업들의 정보보호 인식 수준은 높은 편이었으나, 실제 투자와는 큰 괴리를 보였다. 전체 기업의 80.6%가 정보보호를 '중요하다'고 응답했고, 경영진이 정보보호의 중요성을 인식하는 비율도 77.6%에 달했다. 그러나 정보보호 업무 관련 애로사항을 묻는 질문에서 '정보보호 예산 확보'(49.1%)가 가장 큰 문제로 지적됐다. 이는 기업들이 정보보호의 필요성을 충분히 이해하고 있음에도 불구하고, 예산 제약으로 인해 실질적인 대응이 어려운 상황에 처해 있음을 의미한다. 뒤이어 '정보보호 시스템 및 체계 운용 관리'(45.7%)와 '필요한 정보보호 제품 및 서비스 탐색'(42.6%)도 주요 애로사항으로 꼽혔다.
기업의 정보보호 기반 구축 현황도 미흡한 것으로 조사됐다. 정보보호 정책이나 규정집을 보유한 기업은 전체의 52.6%에 불과했고, 정보보호 교육을 실시하는 기업은 32.7%에 그쳤다. 특히 중소기업의 교육 실시율이 상대적으로 낮아 규모가 작은 기업일수록 정보보호 역량이 취약한 것으로 나타났다. 정보보호 업무를 수행하는 기업 중에서도 전담 조직을 갖춘 곳은 35.3%에 불과했으며, 겸임 조직 비율이 기업 규모와 관계없이 높게 나타났다. 기업 규모별로 보면 종사자 10~49명 그룹은 1.6%만이 전담조직을 보유했고, 50~249명 그룹은 5.9%, 250명 이상 그룹만 37.1%가 전담조직을 유지하고 있었다. 기업별 정보보호 인력도 평균 1.4명에 불과해 전문적인 대응 역량이 부족한 실정이다.
실제로 정보보호 예산을 사용하는 기업들의 투자 규모도 매우 제한적이었다. 예산 사용 분야는 정보보호 제품 및 솔루션의 유지보수(78.0%)가 가장 높았고, 업무 시설의 CCTV 등 영상감시장비 설치 또는 증설(57.4%), 정보보호 제품 및 솔루션 구입(28.6%) 순으로 나타났다. 더욱 우려스러운 것은 예산 규모인데, 500만 원 미만이 70.4%로 대다수를 차지했다. 500만 원 이상 1000만 원 미만은 25.2%, 1000만 원 이상 3000만 원 미만은 1.9%에 불과했다. 정보보호 예산을 미사용하는 기업들의 주요 이유로는 '현재 사업 영역이 정보보호와 무관'(37.0%), '필요한 정보보호 활동이 무엇인지 모름'(33.4%), '침해사고 완벽 방어 미보장'(32.7%) 등이 꼽혔다.
더욱 심각한 것은 기업들의 침해사고 탐지 역량이 매우 낮다는 점이다. 조사 결과 '침해사고 경험이 있다'고 응답한 기업은 전체의 0.2%에 불과했지만, 침해 여부를 '인지하지 못했다'는 응답이 7.5%에 달했다. 이는 실제 침해사고가 발생했음에도 기업들이 이를 감지하지 못하고 있을 가능성이 높다는 의미다. 침해사고를 경험했다고 응답한 기업들이 보고한 침해 유형은 비인가 접근(해킹) 73%, 컴퓨터 바이러스 등으로 인한 IT 시스템 마비 30.6%였다. 침해사고를 경험한 기업 중 관련 기관에 신고한 비율은 31.4%에 불과해, 많은 기업들이 침해사고를 적절히 보고하지 않고 있는 것으로 드러났다. 다만 침해사고 예방 제품이나 서비스를 이용하는 기업은 98.7%로 높았으며, 네트워크 보안 제품(94.5%)과 시스템 보안(94.1%)을 주로 사용하고 있었다.
한편 일반 국민의 정보보호 인식은 상대적으로 높은 것으로 조사됐다. 국민의 65.3%가 정보보호 관련 이슈에 관심이 있다고 응답했고, 72.5%가 침해사고에 우려한다고 답했다. 침해사고 소식이 자신과 관련 있다고 인식하는 비율도 59.2%에 달했다. 실제 침해사고 경험률은 8.5%로, 개인용 모바일 기기 해킹(44.7%)이 가장 많았고, 개인용 컴퓨터 해킹(34.9%), 데이터 외부 유출(28.0%) 순이었다. 침해사고가 발생했을 때 관련 기관에 신고한 비율은 41.2%였으며, 신고하지 않은 주된 이유는 '피해가 심각하지 않았기 때문'(59.7%)이었다. 임정규 과기정통부 정보보호네트워크정책관은 "고도화되는 사이버위협에 효과적으로 대응하기 위해 정부는 정보보호 역량을 지속적으로 강화해 나가겠다"고 밝혔다.