최근 잇따른 해킹 사고로 정보보호에 대한 중요도가 높아지는 가운데 전체 기업 중 정보보호 예산을 사용하는 곳은 절반에 불과한 것으로 조사됐다.

기업 10곳 중 8곳은 정보보호가 '중요하다'고 인식하고 있었지만 절반에 가까운 기업들은 정보보호 업무 관련 주요 애로사항으로 '정보보호 예산 확보'를 꼽았다.

과학기술정보통신부는 정보보호산업협회와 함께 2024년 국민과 기업의 정보보호 인식 및 침해사고 예방·대응 현황을 조사한 '2025년 정보보호 실태조사' 결과를 발표했다.

조사는 크게 기업 부문과 개인 부문으로 나눠 실시됐다.


기업 부문 조사 결과, 전체 기업의 80.6%가 정보보호에 대해 '중요하다'(중요한 편 + 매우 중요)고 인식하고 있었다. 경영진이 정보보호 중요성을 인식하고 있는 곳은 전체의 77.6%다.

정보보호 업무 관련 주요 애로사항을 묻자 '정보보호 예산 확보'(49.1%)라는 응답이 가장 많았다. 이어 '정보보호 시스템 및 체계 운용 관리'(45.7%)와 '필요한 정보보호 제품 및 서비스 탐색'(42.6%) 순으로 나타났다.

전체 기업의 52.6%는 '정보보호 정책 또는 규정집'을 보유하고 있었다. 정보보호 교육을 실시하고 있는 기업은 전체 32.7%였다. 특히 교육 실시율은 규모에 따라 상이했으며 중소기업에서 상대적으로 낮게 나타났다.

정보보호 업무를 수행하는 기업(79.9%) 중 '정보보호 조직을 보유하고 있다'고 응답한 비율은 35.3%다.


조직 유형을 살펴보면 '겸임조직' 비율이 기업 규모와 관계없이 높게 나타났다.

기업이 클수록 전담조직을 가진 곳이 많았다. 기업 규모별로 10~49명 그룹에서 전담조직을 가진 곳은 1.6%, 50~249명 그룹에서는 5.9%, 250명 이상에서는 37.1%다.

기업별 정보보호 인력 수는 평균 1.4명이다.

전체 기업 중 정보보호 예산을 사용하는 곳은 54.8%다.

예산 사용 분야로는 △정보보호 제품 및 설루션의 유지·보수(78.0%) △업무 시설의 CCTV 등 영상감시장비 설치 또는 증설(유지·보수 포함)(57.4%) △정보보호 제품 및 설루션의 구입(28.6%) 순으로 조사됐다.


정보보호 예산을 미사용하는 이유로는 '현재 사업 영역이 정보보호와 무관함'(37.0%), '필요한 정보보호 관련 활동이 무엇인지 모름'(33.4%), '침해사고 완벽 방어 미보장'(32.7%) 등이 주요 요인으로 나타났다.

예산 규모는 500만 원 미만이 70.4%로 가장 많다. 500만 원 이상 1000만 원 미만이 25.2%, 1000만 원 이상 3000만 원 미만은 1.9%, 3000만 원 이상 5000만 원 미만 0.6%, 5000만 원 이상 1억 원 미만 0.8%, 1억 원 이상은 1%다.

전체 기업 중 '침해사고 경험 있다'고 응답한 비율은 0.2%다. 침해 여부를 '인지하지 못함'이라는 응답은 7.5%다. 이는 기업의 침해사고 인지 및 탐지 역량이 충분하지 않을 가능성을 보여주며 사전 탐지 체계 및 대응 역량 강화 필요성을 시사한다.


경험한 침해사고 유형을 보면 외부로부터 침투한 비인가 접근(해킹)이 73%, 컴퓨터 바이러스, 웜, 트로이잔 등으로 인한 IT 시스템 마비는 30.6%다.

침해사고를 경험한 기업(0.2%) 중 관련기관 또는 수사기관에 '신고했다'고 응답한 비율은 31.4%다. 기업 규모별로 보면 '250명 이상'(43.6%)에서 신고율이 가장 높게 나타났다. 10~49명 규모는 32.9%, 50~249명에서는 22.3%다.

침해사고 예방 제품이나 서비스를 이용한다고 한 곳은 전체의 98.7%다. 네트워크 보안 제품(94.5%)이나 시스템 보안(94.1%), 공통 인프라 보안(49.2%)을 사용하고 있었다.


국민 65% "정보보호 관련 이슈에 관심 있다"
일반 국민의 정보보호 인식 및 침해사고 경험을 조사한 결과 침해사고에 대한 우려도와 개인적 관련성 인식, 정보보호에 대한 관심도가 높은 수준으로 나타났다.

정보보호 관련 이슈에 대해 65.3%가 '관심 있다'고 응답했으며 침해사고에 대해 '우려한다'(우려하는 편이다 + 매우 우려한다)는 응답이 72.5%로 조사됐다.

더불어 침해사고 소식과 자신과의 관련성에 대해 '관련 있다'(관련 있는 편이다 + 매우 관련 있다)는 인식이 59.2%로 나타났다.


침해사고 '경험이 있다'는 응답이 8.5%로 조사됐다. 경험한 침해사고 유형으로는 '개인용 모바일 기기 해킹'(44.7%)이 가장 많았다.

이어 '개인용 컴퓨터 해킹'(34.9%,), '개인용 전자기기에 대한 불법적 접근으로 인한 데이터 외부 유출'(28.0%)순으로 나타났다.

정보 침해사고가 발생했을 때 '관련 기관에 피해 사실을 신고했다'고 응답한 비율은 41.2%다. 침해사고를 신고하지 않는 주요 이유로는 '피해가 심각하지 않았기 때문에'(59.7%)가 1순위다.

임정규 과기정통부 정보보호네트워크정책관은 "고도화되는 사이버위협에 효과적으로 대응하기 위해 정부는 정보보호 역량을 지속적으로 강화해 나가겠다"고 말했다.

한편 이번 조사는 네트워크를 보유한 종사자 수 10인 이상 사업체 5500개 기업과 만 12∼69세 인터넷 이용자 3000명을 대상으로 조사를 진행했다.

자세한 조사 결과는 과학기술정보통신부와 한국정보보호산업협회 자료실에서 확인할 수 있다.

minju@news1.kr