[기획] 인력은 제자리, 공시는 엉터리… 디지털리스크 자초하는 韓

작년 사이버침해 4년전比 3배↑ 종사자 2.4만명 수준 ‘제자리’ 보안투자 공시기업 ‘미흡’ 절반 지난해 사이버침해 사고 신고 건수가 4년 전과 비교해 3배 넘게 급증했지만 이를 전문적으로 다루는 보안 인력은 제자리걸음 수준이었던 것으로 나타났다. 최근 해커들이 인공지능(AI) 기반의 진화된 사이버 공격을 감행하지만, 이에 대한 대응 수준은 턱없이 부족한 실정이다. 신뢰성을 높이기 위해 도입한 공시 제도도 부실했다. 국민생활에 밀접한 공시 대상 기업 중 절반 넘는 곳이 제대로 이행하지 않은 것으로 드러났다. 공시 제도 개선이 필요하다는 지적이 나온다. 6일 디지털타임스 취재에 따르면 지난해 기업들이 한국인터넷진흥원(KISA) 등에 신고한 사이버침해 건수는 1887건에 달했다. 지난 2020년(603건)과 비교해 1284건 크게 늘어난 것으로 나타났다. 올해도 역대급 사이버침해 사고 건수가 집계될 것으로 예상된다. 올 1월부터 지난 9월 중순까지 신고된 피해 건수는 1649건으로 지난해 말 누적 건수에 근접했다. 올해 SK텔레콤과 예스24, SGI서울보증, 롯데카드 등 국민생활과 밀접한 금융·통신 분야에서 서버 해킹과 랜섬웨어 등 다양한 유형의 사고가 발생했다. 그러나 정작 사이버보안 전문 인력은 크게 늘어나지 않았다. 지난해 기준 해당 인력은 6만6367명으로 2023년보다 10.0% 늘었다. 인명 및 시설, 정보 등의 자산을 보호하는 물리보안 부문에서 증가율이 높았던 결과였다. 그러나 사이버침해 등에 대응하는 전문 인력은 2만3987명으로 전년 대비 0.2% 늘어나는데 불과했다. 같은 기간 물리보안 인력 증가율이 17%에 달한 것과 달리 정보보안 인력은 제자리 걸음했다. 정보보호 공시 제도 이행도 엉터리였다. 올해 정보보호 공시 대상 기업 40개사 중 과반인 21개사가 ‘수정공시 요청’을 받았다. 통신 및 플랫폼 분야 40개사를 대상으로 지난 8월부터 3개월 동안 검증한 결과, 40개 기업 중 21개 기업이 수정 공시 대상에 올랐다. 정해진 기간 수정 공시를 이행하지 않으면 정보보호산업의 진흥에 관한 법률에 따라 1000만원 이하의 과태료가 부과된다. 이 제도는 정보보호 공시의 신뢰성과 투명성을 강화하기 위해 추진했다. 정보보호 공시 심의위원회(이하 심의위)가 정보보호 투자 및 인력 현황 등 공시 항목의 정확성 등을 검증한 후 미흡한 부분에 대해선 수정 요청을 한다. 심의위는 정보보호 투자액과 인력 현황 등 주요 항목에서 오차 및 증감률 등에 5% 기준을 두고 조건에 부합한지 심사한다. 정보보호 투자 오차금액이 검증 기업의 평균 정보보호 투자 금액의 5% 이상인지, 정보기술 및 정보보호 투자액·인력 오차율이 5% 이상인지를 파악한다. 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO), 정보보호 인증 및 평가, 점검, 활동 등 공시한 내용이 일치하는 지 여부도 확인한다. 과기정통부는 심의 결과를 바탕으로 공시 제도의 신뢰성을 제고하고 검증 대상을 확대하는 한편, 검증 절차의 전문성과 투명성을 지속해 강화할 계획이다. 또한 공시 기업이 자체적으로 오류를 예방할 수 있도록 가이드라인을 개선하고 교육·컨설팅 지원도 병행할 예정이다. 이기혁 중앙대 융합보안학과 교수는 보안 담당자의 전문 역량을 키우는 것이 관건이라고 말했다. 이 교수는 “보안 담당자 배치 시 전문성과 경험, 교육 이수 여부를 기준으로 선발해야 한다”면서 “회사 최고경영자(CEO)도 보안 위험 관리의 중요성을 인식하도록 교육하고 법적·경영적 리스크와 동일한 수준으로 보안 문제를 다루도록 해야 한다”고 강조했다. 임성원 기자 sone@dt.co.kr