사고를 겪었다는 응답은 극히 낮았지만, 침해 여부조차 인지하지 못한다는 답이 더 많아 “사고가 없는 것인지, 못 본 것인지”부터 점검해야 한다는 지적이 나온다.
과학기술정보통신부는 27일 정보보호산업협회와 함께 이 같은 내용의 ‘2025 정보보호 실태조사’ 결과를 발표했다. 이번 조사는 종사자 10인 이상, 네트워크를 보유한 사업체 5500곳과 만 12~69세 인터넷 이용자 3000명을 대상으로 진행됐다.
조사 결과 전체 기업의 80.6%는 정보보호가 중요하다고 인식했다. 그러나 현장에서는 인식만큼 준비가 따라가지 못하는 모습도 뚜렷했다. 기업들이 꼽은 정보보호 업무상 가장 큰 어려움은 ‘정보보호 예산 확보’가 49.1%로 가장 높았고, ‘정보보호 시스템 및 체계 운용 관리’ 45.7%, ‘필요한 정보보호 제품 및 서비스 탐색’ 42.6%가 뒤를 이었다.
기초 체력도 충분하지 않았다. 정보보호 정책이나 규정집을 보유한 기업은 52.6%에 그쳤고, 정보보호 교육을 실시하는 기업은 32.7%에 불과했다. 특히 중소기업일수록 교육 실시율이 낮았다.
정보보호 업무를 수행하는 기업은 79.9%였지만, 이 가운데 별도 정보보호 조직을 갖춘 곳은 35.3%였다. 그것도 상당수는 전담 조직이 아니라 겸임 조직이었다. 보안이 중요하다고는 하지만, 아직은 ‘본업 옆에 얹어두는 일’에 머물러 있다는 뜻이다.
◇사고 경험률 0.2%인데 ‘모른다’는 7.5%
가장 눈에 띄는 대목은 침해사고 인지 수준이다. 전체 기업 가운데 침해사고를 경험했다고 답한 비율은 0.2%였다. 얼핏 보면 매우 낮다. 하지만 침해 여부를 ‘인지하지 못한다’는 응답이 7.5%로 더 높게 나타났다.
이는 기업의 사고 경험률이 낮다기보다, 침해사고를 탐지하거나 파악하는 역량 자체가 부족할 가능성을 보여준다. 실제 사고가 있어도 내부에서 알아채지 못하면 대응도, 신고도 이뤄지기 어렵다.
신고율에서도 이런 한계는 그대로 드러났다. 침해사고를 경험한 기업 가운데 관련 기관이나 수사기관에 신고했다고 답한 비율은 31.4%에 그쳤다. 사고를 당한 10개 기업중 3개 정도만 신고한다는 얘기다.
기업 규모별로 보면 250인 이상 기업이 43.6%로 가장 높았고, 10~49인 기업은 32.9%, 50~249인 기업은 22.3%였다. 규모가 작은 기업일수록 탐지와 신고 모두 더 취약한 셈이다.
◇개인은 더 불안해하고, 더 많이 겪고, 더 많이 신고
개인 부문 결과는 기업과 대조적이다. 정보보호 이슈에 관심이 있다는 응답은 65.3%, 침해사고가 우려된다는 응답은 72.5%였다. 침해사고 뉴스가 자신과 관련 있다고 보는 인식도 59.2%에 달했다. 개인들이 사이버 위협을 더 현실적인 문제로 받아들이고 있다는 의미다.
실제 경험률도 기업보다 훨씬 높았다. 개인의 침해사고 경험률은 8.5%였다. 유형별로는 모바일 기기 해킹이 44.7%로 가장 많았고, 개인용 컴퓨터 해킹 34.9%, 전자기기 불법 접근에 따른 데이터 유출 28.0% 순이었다.
신고율도 기업보다 높았다. 침해사고를 겪은 개인 중 관련 기관에 신고했다고 답한 비율은 41.2%로, 기업 신고율 31.4%를 웃돌았다.
다만 개인의 미신고 이유로는 ‘피해가 심각하지 않았기 때문’이 59.7%로 가장 많았다.
◇“사고 통계보다 보안 체력 키워야”
이번 조사에서 드러난 핵심은 단순한 사고 건수보다 탐지와 대응의 수준 차이다. 개인은 위협을 더 민감하게 인식하고 실제 신고도 더 적극적으로 하는 반면, 기업은 정보보호의 중요성을 말하면서도 실제 현장에서는 예산과 조직, 교육, 탐지 체계가 충분히 뒷받침되지 못하고 있다.
과기정통부 임정규 정보보호네트워크정책관은 “정보보호 실태조사는 개인 및 기업의 정보보호 인식과 현황, 침해 경험 및 대응 활동 등을 종합적으로 측정하는 조사”라며 “단순 사고 발생 통계를 넘어 산업 전반의 보안 역량 수준을 진단하고 중장기 정보보호 정책 수립의 기초자료로 활용된다”고 했다. 이어“고도화되는 사이버위협에 효과적으로 대응하기 위해 정부는 정보보호 역량을 지속적으로 강화해 나가겠다”고 밝혔다.
