[3줄 요약]
1. 국내 주요 기업 CISO 396명 대상 설문조사 실시
2. 겸직 시달리는 CISO가 78%
3. CISO 72%가 “사이버 공격 위험 느낀다”

[보안뉴스 강현주 기자] 정보보호최고책임자(CISO) 4명 중 1명은 자사에 정보보호 전담인력이 “없다”고 답해 보안 인력 부족 문제가 심각한 것으로 나타났다.

4일 <보안뉴스>가 국내 주요 CISO들 대상으로 실시한 설문조사를 분석한 결과다. CISO만의 지식과 경험을 공유하기 위해 한국CISO협의회 개최로 최근 열린 ‘CISO 코리아 2025’에 참여한 국내 주요 기업 CISO들의 목소리다. 국내 대기업(36.11%)과 중견기업(28.79%), 중소기업(19.7%), 공공기관(11.62%), 벤처·스타트업(1.26%) 등에 현재 재직 중인 396명이 설문에 응했다.


▲<보안뉴스>가 CISO 396명을 대상으로 실시한 설문조사 [자료: 보안뉴스]

70%가 보안 전담 인력 5명이 안돼
‘귀 사에서 정보보호 관련 전담인력은 몇 명인가요?’라는 질문에 응답자 4분의 1이 넘는 26.26%의 CISO들이 ‘전담인력 없음(다른 업무와 겸임)’이라고 답했다. ‘0.5~5명’이라고 답한 CISO가 43.69%로 가장 많았다. 이에 따라 보안 전담인력이 5명 이하인 곳이 약 70%에 달하는 것으로 분석된다. 이어 △6~10명(13.89%) △11~15명(5.3%) △16~20명(3.79%) △21~30명(2.78%) △30명 이상(4.29%) 순이다.

이 같은 결과는 국내 주요 기업들 상당수가 보안을 담당하는 직원이 없거나 다른 업무와 겸업하고 있음을 뜻한다. 이는 CISO들이 겪고 있는 일이다. 한국인터넷진흥원(KISA)이 운영하는 정보보호 공시 포털에 따르면, 올해 정보보호 공시를 한 773개 기업 중 CISO가 겸직을 하는 기업은 2024년 기준 78%에 달한다. 이 중 약 29%의 CISO가 임원이 아니다.

이러한 현상은 국내 기업들이 보안 투자에 여전히 안일하다고 해석할 수 있는 대목이다. 이번 설문조사에 따르면 85.86%의 CISO들이 보안 예산 확보에 어려움을 겪은 적이 있었다. 인력에 대한 투자도 열악하다는 점도 이와 맥을 같이 한다.


▲<보안뉴스>가 CISO 396명을 대상으로 실시한 설문조사 [자료: 보안뉴스]

“고급 인력 절실...사이버 공격 위험 느낀다”
실제로 응답자들의 기업들 중 전체 IT 예산 중 정보보호 예산이 차지하는 비율이 5% 미만인 곳이 절반이 넘는 54.79%로 나타났다. 1% 미만인 곳도 약 16%나 됐다. 1~3% 미만인 곳과 3~5% 미만인 곳 둘 다 19.44%로 동일하고, 5~10%인 기업이 25.25%로 가장 많았다. 10% 이상인 곳은 13.64%이며, ‘모르겠다’고 답한 CISO들도 6.32%나 된다. 정보보호 수장에게도 보안 예산 정보조차 공유가 안되는 곳들이 아직도 많다는 얘기다.


▲<보안뉴스>가 CISO 396명을 대상으로 실시한 설문조사 [자료: 보안뉴스]

이에 따라 대부분의 CISO들은 사이버 공격에 대한 위험을 크게 느끼고 있는 것으로 나타났다. 이들은 ‘현재 본인이 속한 조직이 사이버 공격을 당할 가능성이 있다는 위험을 느끼십니까? 어느 정도입니까?’라는 질문에 72.22%가 위험을 느낀다고 답했으며(매우 크게 느낀다 11.36%, 크게 느낀다 38.89%, 약간 느낀다 21.97%), ‘보통이다’가 24.49%다. ‘별로 느끼지 않는다’고 답한 응답자는 3.28%에 불과했다.

CISO들과 보안 기업들은 특히 ‘고급 인력’의 부재가 심각하다는 점을 공통적으로 지적하고 있다.

보안 업계 한 전문가는 “그동안 정부가 보안 전문가 10만명 양성 등 인재 육성 지원의 뜻을 밝혀 왔지만 공격적인 보안을 펼칠 레드팀 등 실질적으로 필요한 고급 인력이 여전히 절실한 상태”라며 “올해 줄줄이 일어난 대형 해킹 사건들에서 기업의 대응이 미흡했던 요인 중 하나가 고급 인력의 부재였을 수 있다”고 말했다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>