.gif)
[3줄 요약]
1. 국내 주요 기업 CISO 396명 대상 설문조사 실시
2. 이재명 정부에 ‘보안 투자 비율 의무화’ 기대
3. CISO 86%가 “예산 확보 어려워”
[보안뉴스 강현주 기자] 국내 주요 기업 다수의 정보보호최고책임자(CISO)들이 정부가 기업에게 일정 비율의 보안투자를 ‘의무화’ 해주길 바라는 것으로 나타났다. 보안 불감증 등으로 보안 예산 확보에 어려움을 겪고 있기 때문이다.
29일 <보안뉴스>가 국내 주요 CISO들 대상으로 실시한 설문조사를 분석한 결과다. CISO만의 지식과 경험을 공유하기 위해 한국CISO협의회 개최로 최근 열린 ‘CISO 코리아 2025’에 참여한 국내 주요 기업 CISO들의 목소리다. 국내 대기업(36.11%)과 중견기업(28.79%), 중소기업(19.7%), 공공기관(11.62%), 벤처·스타트업(1.26%) 등에 현재 재직 중인 396명이 설문에 응했다.
CISO들은 ‘정보보호 정책 관련 이재명 정부에게 바라는 점’으로 ‘기업 보안 예산 비율 의무화’를 가장 많이 꼽았다. 전체의 26.8%를 차지했다. 이어 △ISMS 등 보안 인증 제도 실효성 개선 21.96% △중소기업 보안 지원 확대 17.96% 순이었다. AI 보안, 양자보안 등 ‘보안 기술 연구개발 지원 확대’와 ‘정보보호 관련 정부조직 체계 개편’이 각각 16%로 뒤를 이었다.
▲<보안뉴스>가 CISO 396명을 대상으로 실시한 설문조사 [자료: 보안뉴스]
보안 ‘뒷전’ 취급으로 예산 확보 어려워
‘기업 보안 예산 비율 의무화’가 가장 많은 선택을 받은 것은 대부분 CISO들이 보안 예산 확보에 어려움을 겪기 때문으로 풀이된다.
실제로 이번 설문조사에서 86%의 CISO들이 ‘보안 예산 확보에 어려움을 겪은 적이 있다’고 답했다. 그 요인으로는 ‘예산 부족’이 38.38%로 가장 많았다. 이어 ‘보안에 대한 안일한 인식’ 28.79% ‘결정권자의 전문성 미비’가 18.69%로 뒤를 이었다. 어려움이 없었다고 답한 이들은 13%에 불과했다.
이는 수많은 조직에서 여전히 보안을 ‘뒷전’으로 취급하고 있음을 엿볼 수 있는 대목이다. 보안 불감증이 만연하고, 보안을 여전히 꼭 필요한 투자가 아닌 비용으로 인식하는 문화가 강하다는 얘기다.
기업 보안 예산 비율 의무화는 실제로 정부가 SK텔레콤 해킹 사태 이후 검토하고 있는 안이다. 5월 개인정보보호위원회는 ‘개인정보 정책포럼’에서 “2027년까지 전체 IT 예산의 최소 10%, 2030년까지는 15%로 정보보호 예산을 확대할 수 있도록 논의 중”이라고 밝힌 바 있다.
글로벌 사이버보험 기업 히스콕스 보고서에 따르면 글로벌 기업들은 연간 IT 투자액 가운데 11%를 정보보호에 투자하고 있다. 반면 정보보호 공시 대상 국내 기업들의 2024년 평균 보안 투자는 6%대에 머물고 있다.
▲<보안뉴스>가 CISO 396명을 대상으로 실시한 설문조사 [자료: 보안뉴스]
“정부가 나설 땐 나서되, 보여주기식 강화 안돼”
현재 보안 전문가들 사이에서는 당국의 규제 준수에 급급하는 이른바 ‘체크리스트식’, ‘보여주기식’ 보안 문화가 ‘자율 보안’ 문화로 전환돼야 한다는 여론이 커지고 있다. 일각에서는 ISMS 인증을 더 엄격하게 강화하려는 움직임조차 “체크리스트 박스 하나 늘어난 것일 뿐”이라는 회의적 목소리도 나올 정도다.
그럼에도 CISO들은 여전히 국내 산업의 보안 강화에 있어서 정부의 역할을 기대하고 있음이 이번 설문조사로 나타났다. 나서야 할 땐 나서주길 바란다는 얘기다. 특히 기업들이 보안 투자를 확대하도록 정부의 노력이 필요하다는 점에는 이견이 없다.
‘정보보호 정책 관련 이재명 정부에게 바라는 점’ 질문에서 세번째로 많은 선택을 받은 ‘중소기업 보안 지원 확대’ 역시 기업의 보안 예산 확보가 녹록치 않다는 점을 보여준다. ICT 중소기업 정보보호 지원사업 예산은 기존 100억원 대 수준에서 2025년 20억원 대로 감소했다.
보안 업계 한 전문가는 “정부의 노력으로 산업 전반에 보안 투자 자본이 확대되고 인증 제도가 개선된다면, 기업들의 보안 강화와 보안 산업 발전 양 측면에서 바람직한 일”이라며 “다만 체크리스트 추가에 불과한 결과로 이어지면 달라질 게 없을 것”이라고 말했다.
[강현주 기자(jjoo@boannews.com)]
1. 국내 주요 기업 CISO 396명 대상 설문조사 실시
2. 이재명 정부에 ‘보안 투자 비율 의무화’ 기대
3. CISO 86%가 “예산 확보 어려워”
[보안뉴스 강현주 기자] 국내 주요 기업 다수의 정보보호최고책임자(CISO)들이 정부가 기업에게 일정 비율의 보안투자를 ‘의무화’ 해주길 바라는 것으로 나타났다. 보안 불감증 등으로 보안 예산 확보에 어려움을 겪고 있기 때문이다.
29일 <보안뉴스>가 국내 주요 CISO들 대상으로 실시한 설문조사를 분석한 결과다. CISO만의 지식과 경험을 공유하기 위해 한국CISO협의회 개최로 최근 열린 ‘CISO 코리아 2025’에 참여한 국내 주요 기업 CISO들의 목소리다. 국내 대기업(36.11%)과 중견기업(28.79%), 중소기업(19.7%), 공공기관(11.62%), 벤처·스타트업(1.26%) 등에 현재 재직 중인 396명이 설문에 응했다.
CISO들은 ‘정보보호 정책 관련 이재명 정부에게 바라는 점’으로 ‘기업 보안 예산 비율 의무화’를 가장 많이 꼽았다. 전체의 26.8%를 차지했다. 이어 △ISMS 등 보안 인증 제도 실효성 개선 21.96% △중소기업 보안 지원 확대 17.96% 순이었다. AI 보안, 양자보안 등 ‘보안 기술 연구개발 지원 확대’와 ‘정보보호 관련 정부조직 체계 개편’이 각각 16%로 뒤를 이었다.
▲<보안뉴스>가 CISO 396명을 대상으로 실시한 설문조사 [자료: 보안뉴스]
보안 ‘뒷전’ 취급으로 예산 확보 어려워
‘기업 보안 예산 비율 의무화’가 가장 많은 선택을 받은 것은 대부분 CISO들이 보안 예산 확보에 어려움을 겪기 때문으로 풀이된다.
실제로 이번 설문조사에서 86%의 CISO들이 ‘보안 예산 확보에 어려움을 겪은 적이 있다’고 답했다. 그 요인으로는 ‘예산 부족’이 38.38%로 가장 많았다. 이어 ‘보안에 대한 안일한 인식’ 28.79% ‘결정권자의 전문성 미비’가 18.69%로 뒤를 이었다. 어려움이 없었다고 답한 이들은 13%에 불과했다.
이는 수많은 조직에서 여전히 보안을 ‘뒷전’으로 취급하고 있음을 엿볼 수 있는 대목이다. 보안 불감증이 만연하고, 보안을 여전히 꼭 필요한 투자가 아닌 비용으로 인식하는 문화가 강하다는 얘기다.
기업 보안 예산 비율 의무화는 실제로 정부가 SK텔레콤 해킹 사태 이후 검토하고 있는 안이다. 5월 개인정보보호위원회는 ‘개인정보 정책포럼’에서 “2027년까지 전체 IT 예산의 최소 10%, 2030년까지는 15%로 정보보호 예산을 확대할 수 있도록 논의 중”이라고 밝힌 바 있다.
글로벌 사이버보험 기업 히스콕스 보고서에 따르면 글로벌 기업들은 연간 IT 투자액 가운데 11%를 정보보호에 투자하고 있다. 반면 정보보호 공시 대상 국내 기업들의 2024년 평균 보안 투자는 6%대에 머물고 있다.
▲<보안뉴스>가 CISO 396명을 대상으로 실시한 설문조사 [자료: 보안뉴스]
“정부가 나설 땐 나서되, 보여주기식 강화 안돼”
현재 보안 전문가들 사이에서는 당국의 규제 준수에 급급하는 이른바 ‘체크리스트식’, ‘보여주기식’ 보안 문화가 ‘자율 보안’ 문화로 전환돼야 한다는 여론이 커지고 있다. 일각에서는 ISMS 인증을 더 엄격하게 강화하려는 움직임조차 “체크리스트 박스 하나 늘어난 것일 뿐”이라는 회의적 목소리도 나올 정도다.
그럼에도 CISO들은 여전히 국내 산업의 보안 강화에 있어서 정부의 역할을 기대하고 있음이 이번 설문조사로 나타났다. 나서야 할 땐 나서주길 바란다는 얘기다. 특히 기업들이 보안 투자를 확대하도록 정부의 노력이 필요하다는 점에는 이견이 없다.
‘정보보호 정책 관련 이재명 정부에게 바라는 점’ 질문에서 세번째로 많은 선택을 받은 ‘중소기업 보안 지원 확대’ 역시 기업의 보안 예산 확보가 녹록치 않다는 점을 보여준다. ICT 중소기업 정보보호 지원사업 예산은 기존 100억원 대 수준에서 2025년 20억원 대로 감소했다.
보안 업계 한 전문가는 “정부의 노력으로 산업 전반에 보안 투자 자본이 확대되고 인증 제도가 개선된다면, 기업들의 보안 강화와 보안 산업 발전 양 측면에서 바람직한 일”이라며 “다만 체크리스트 추가에 불과한 결과로 이어지면 달라질 게 없을 것”이라고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
