최근 개인정보유출 사고들이 잇따르는 원인으로 보안 투자와 보안의식의 부족을 꼽고 있다.
실제 선진국의 경우 전체 IT예산의 10% 정도를 보안에 투자하는 반면, 우리나라는 3~4% 수준으로 보안 투자가 저조한 실정이다. 또 항상 IT투자에서 걸핏하면 제1순위로 미뤄져 왔던 게 보안이었다. 이렇다보니 상대적으로 보안 취약점들이 많을 수밖에 없는 국내 IT시스템들은, 국내외 해커들의 놀이터가 되고 있는 것이다.
개인정보유출 사고로 인한 사회적 파장이 커지자 여기저기서 대책 마련에 나섰다. 그 중 하나가 보안예산 의무할당제이다. IT시스템 구축 시 전체 예산의 최소한 5%~10%를 보안예산으로 잡고 사업을 진행해야 한다는 것이다. 공공기관부터 보안예산 의무할당제를 도입한다면 일반 기업들의 보안 투자 역시 활성화될 것으로 본다.
정보보호 컨설팅 업체의 관계자는 "이전에도 공공기관들이 30억 이상의 SI사업을 진행할 때 3%를 보안 감리 비용으로 잡아야 하는 의무 지침이 있었으나 잘 지켜지진 않았던 것 같다. 문서 점검 차원이 아닌 실제 내부 보안 체계를 강화할 수 있는 제도화가 이뤄져야 할 것"이라고 말했다.
산재의료원 인천중앙병원은 2004년부터 보안시스템구축 3개년 사업을 추진 중이다. 병원 정보화 사업을 본격화 하면서 해마다 네트워크, 자료유출, 통합관리에 대한 보안 사업을 진행했다. OCS, PACS 등 핵심 의료정보시스템 구축 시 5%정도를 꾸준히 보안에 투자해 현재 여타 병원들 보다 보안 수준이 앞서 있다고 자신했다. 인천중앙병원도 보안 사업을 시작할 당시만 하더라도 해킹이 손쉽게 될 정도로 보안이 취약했다. 하지만 3년간 보안 사업을 통해 보안 수준이 대폭 강화됐다는 게 눈에 보일 정도라고 병원 관계자는 말했다.
보안에 대한 투자 효과는 돈으로 환산할 수 없을 정도이다. 옥션, 하나로텔레콤 등 집단 소송은 정보보호가 기업의 존폐를 가늠할 정도로 중요하다는 것을 보여줬다. 불과 얼마 전까지 IT강국이, 각종 보안위협에 대해 무방비지대로 바뀔 위기에 놓이면서 '이제 정보보호 강국으로 거듭나야 할 때'라는 보안업계를 넘어 사회적인 목소리가 높아지고 있다.
아무리 강조해도 지나치지 않는 게 보안이라는 데 동감한다. 건강은 건강할 때 지켜야 한다는 말이 있듯이, 보안예산 의무할당제를 통해서라도 건강한 IT인프라가 유지될 수 있기를 바란다. 또 보안예산 의무할당제가 도입된다면 전체 IT예산이 그만큼 삭감되어 반쪽짜리 프로젝트가 될 수도 있다고 공공기관들이 벌써부터 우려하고 있는데, 기본적인 프로젝트 예산이 확보된 상태에서 만이 본 제도가 유효할 것으로 본다.
김정은 기자
jekim@itdaily.kr