“보안 중요하다면서 투자는 부족?”···기업 10곳 중 8곳, 인식-현실 괴리

과학기술정보통신부. [사진=연합뉴스]

[이뉴스투데이 김진영 기자] 국내 기업 10곳 중 8곳이 정보보호의 중요성을 인식하고 있음에도 불구하고 예산과 조직, 교육 등 실제 대응 역량은 여전히 부족한 것으로 나타났다. 개인 역시 보안 위협에 대한 우려는 크지만, 침해사고 대응은 제한적인 수준에 머물러 있는 것으로 조사됐다.

과학기술정보통신부가 한국정보보호산업협회와 함께 발표한 ‘2025년 정보보호 실태조사’에 따르면 전체 기업의 80.6%가 정보보호를 중요하게 인식하고 있었다. 그러나 정보보호 정책을 보유한 기업은 52.6%, 교육하는 기업은 32.7%에 그쳤다. 특히 중소기업일수록 교육 실시율이 낮아 규모별 격차도 확인됐다.

정보보호 업무를 수행하는 기업 중 조직을 보유한 비율은 35.3%로 나타났으며, 대부분이 전담이 아닌 겸임 조직 형태였다. 전담 조직은 기업 규모가 클수록 높은 비중을 보였다. 예산을 실제로 사용하는 기업은 54.8%였으며, 주요 사용처는 유지보수(78.0%), 영상감시장비(57.4%), 설루션 구매(28.6%)순이었다.

관련 애로사항으로는 예산 확보(49.1%)가 가장 크게 꼽혔고, 시스템 운영·관리(45.7%), 제품·서비스 탐색(42.6%)이 뒤를 이었다. 예산을 사용하지 않는 이유로는 정보보호와 무관하다는 인식(37.0%), 필요한 활동에 대한 이해 부족(33.4%), 완전한 방어가 어렵다는 인식(32.7%) 등이 지목됐다.

침해사고 대응 역량의 한계도 드러났다. 기업의 침해사고 경험률은 0.2%로 낮게 나타났지만, 7.5%는 침해 여부 자체를 인지하지 못했다고 응답해 탐지 역량 부족 가능성을 시사했다. 실제 침해를 경험한 기업 중 신고 비율은 31.4%에 그쳤으며, 기업 규모가 클수록 신고율이 높은 경향을 보였다.

개인 부문에서는 정보보호에 대한 관심(65.3%)과 침해사고에 대한 우려(72.5%)가 높은 수준으로 집계됐다. 침해사고가 자신과 관련 있다고 인식하는 비율도 59.2%였다. 실제 침해 경험률은 8.5%였으며, 모바일 기기 해킹(44.7%), PC 해킹(34.9%), 데이터 유출(28.0%)이 주요 유형으로 조사됐다.

다만 침해사고 발생 시 신고 비율은 41.2%에 그쳤다. 신고하지 않는 이유로는 ‘피해가 심각하지 않다’는 응답이 59.7%로 가장 많았다.

정부는 이번 조사 결과를 바탕으로 산업 전반의 보안 역량을 점검하고 정책 수립에 반영한다는 계획이다. 임정규 과기정통부 정보보호네트워크정책관은“고도화되는 사이버위협에 효과적으로 대응하기 위해 정부는 정보보호 역량을 지속적으로 강화해 나가겠다”고 말했다.

한편, 이번 조사는 네트워크를 보유한 종사자 수 10인 이상 사업체 5500개 기업과 만 12∼69세 인터넷 이용자 3000명을 대상으로 조사를 진행했다. 자세한 조사 결과는 과학기술정보통신부와 한국정보보호산업협회 자료실에서 확인할 수 있다.