보안예산 여전히 동결, 423명(37.43%)으로 1위
보안예산 동결 원인: 보안에 대한 관심 부족, 비용 인식, 만족도 떨어지는 솔루션 등

[보안뉴스 김경애] 지난 24일 여수시 버스정보시스템(BIS) 단말기 모니터에서 성관계 장면이 담긴 음란 동영상이 방영되는 보안사고가 발생했다. 음란 동영상은 밤 11시 30분경 현장에 도착한 여수시 직원이 단말기 전원을 차단하기까지 약 70여분간 계속됐다.



여수 BIS단말기, 음란동영상 사고원인은?
단말기 메모리카드에는 음란물이 저장돼 있었으며, 악성코드와 해킹 흔적이 발견됐다. 현재 여수시내 버스정보안내기 174대 중 134대는 외부 인터넷망으로 운영되고 있다. 이 때문에 해커가 인터넷망을 침투해 음란물을 방영했을 가능성도 제기되고 있다. 이와 관련 현재 경찰이 수사 중에 있으며, 여수시는 BIS의 보안강화 대책 마련을 위해 행정자치부와 전라남도에 도움을 요청한 것으로 알려졌다.

이번 해킹 사고에서 도마 위에 오르는 것 중 하나가 바로 여수시의 허술한 보안관리다. 여기엔 보안예산 부족이 주요 원인으로 지적되고 있다. 단말기에는 외부 접근을 차단하는 방화벽조차 없었고, 2년전 국정원 보안점검에서도 지적사항이 나왔지만 예산부족으로 개선이 이루어지지 않았기 때문이다.

보안예산, 지난해 수준으로 동결됐다는 응답 1위
이처럼 하루가 멀다하게 보안사고는 뻥뻥 터지고 있지만, 보안예산은 여전히 미흡한 것으로 조사됐다. 이와 관련 본지가 보안담당자 2,298명을 대상으로 ‘전년대비 귀사의 보안관련 예산 규모는 어느 정도인가요?’란 질문으로 설문조사한 결과 423명(37.43%)이 ‘지난해 수준으로 동결됐다’고 답변해 1위를 차지했다.

그나마 다행스러운 건 보안예산이 증가했다는 답변도 예년에 비해 많아졌다는 점이다. ‘지난해보다 20~50% 증가했다’는 답변이 263명(23.27%)으로 2위를 차지했고, ‘지난해보다 20% 미만 증가’했다는 응답도 178명(15.75%)으로 3위를 차지했다. 이어 ‘50~100% 이상 대폭 증가’했다는 답변도 105명(9.29%)으로 4위를 차지했다.

하지만 보안예산이 증가했다고 답변한 모든 응답자를 합해도 546명(48.31%)으로 아직 절반에 못 미치는 수준이다. 게다가 ‘지난해보다 감소했다’고 답변한 응답자도 70명(6.19%)으로 동결됐다는 답변과 합치면 493명(43.62%)으로 절반에 육박한다.

보안예산, 왜 매년 제자리인가?
그렇다면 기업과 공공기관에서 보안예산이 늘어나지 않는 이유는 무엇일까? 이에 대해 보안전문가들은 보안을 비용이라 생각하는 인식 문제, 보안에 대한 관심 부족, 보안 솔루션의 등의 미흡 등을 꼽았다.

1. 보안에 대한 관심 부족
보안에 대한 관심 부족을 꼽은 순천향대학교 염흥열 교수는 “정보보호가 비지니스 목적과 직결된다는 사실에 대한 인식이 여전히 부족하다”며 “정보보호는 예산, 인원, 관리체계 운용 등이 중요하며, 정보보호는 비용 투자가 아니고, 경영 활동의 일부로 인식해야 한다”고 강조했다. 따라서 보안사고가 발생했다고 후회만 하지 말고 사전 투자로 보안사고를 예방해야 한다는 게 그의 설명이다.

이어 염흥열 교수는 “기업의 인식제고를 위한 기반 마련이 필요하다”며 “최고경영자의 인식 개선을 위한 활동이나 정책 지원도 필요하며, 영세기업과 같이 투자 여력이 없을 때는 클라우드 서비스를 이용하는 것도 고려할 필요가 있다”고 말했다.

보안담당자로 근무했던 한 보안전문가는 “기업 경영진 입장에서는 보안을 위해 투자하지 않아도 리스크(Risk)가 크지 않다고 보기 때문에 우선순위에 놓지 않는 것”이라며 “이를테면 인증의무 대상인 기업이 이를 준수하지 못했을 때도 과태료 등 불이익이 크지 않아 미리 준비할 필요성을 못느끼거나 최초 인증심사 통과 후 갱신 심사가 있음에도 모든 게 끝난 것처럼 보안팀이 해체되는 사례가 발생하는 등 아직까지 보안에 대한 관심이 부족하다”고 지적했다. 또한, 그는 실제 보안사고 발생 시에도 기업에서의 손실이 크지 않아 신경쓰지 않는 것이라고 덧붙였다.

또한, 에프원시큐리티 조재근 연구원은 “기업에서의 보안은 특별한 성과가 나오는 것이 없기 때문에 보안사고가 없는 건 당연하고, 취약점이 존재하면 안 되는 것으로 인식되기 때문에 보안예산에 변화가 없는 것”이라며 “보안에 대한 인식이 바뀌는 게 제일 중요하다”고 말했다.

무엇보다 기업 경영진이 스스로 판단해 보안예산을 확대하는 데는 한계가 있으므로 보안담당자들의 적극적인 의견 개진이 필요하다는 의견이다. 또한, 보안예산 확대를 위해서는 단기적으로는 징벌제도를 강화하고 보안사고에 대한 적절한 조치와 대응이 필요하다고 강조했다. 이를 바탕으로 경영진들의 보안인식 제고가 이루어지고, 기업 내에서 보안의 중요성이 강조되어야 투자가 확대될 수 있다는 설명이다.

2. 기업, 보안=비용이란 인식
기업의 경우 보안이 곧 비용이라고 생각한다는 보안업체의 영업담당자는 “기업에서 보안은 인건비 절감, 비용 절감 등 비용으로 보기 때문에 굳이 신규사업이나 고도화가 없이는 보안 비용을 추가로 잡지 않는다”며 “이미 법 개정, 보안사고 등으로 DB암호화, FDS 구축, 비대면거래, Non Active-X 사업 등을 추진한 곳이 많아 추가로 예산을 잡을 만한 신규사업은 거의 없는 상황이다. 기존에 보안관제나 유지보수, 보안심사, 보안인증 등은 고정비용으로 예산을 잡아 놓았을 것”이라고 설명했다.

EY한영 홍성권 보안컨설턴트는 “기업에서 보안예산을 투자가 아닌 비용으로 보는 경향이 있어 관련 예산을 수립하고도 비용절감 차원에서 편성된 예산을 모두 사용하지 않고 법적 요구사항을 충족시킬 수 있는 최소한의 예산만 반영한다”며 “하지만 법적 요건 충족은 물론 핀테크, IoT 등 보안이 더욱 중요해지는 ICT 환경 변화에 맞춰 보안예산이 증가해야 한다”고 강조했다.

3. 아직 2% 부족한 보안 솔루션
일각에서는 만족도가 떨어지는 보안 솔루션도 문제가 있다는 의견도 나왔다. 한 보안전문가는 “보안을 비용이 아닌 투자로 보는 인식이 예전보다는 많이 높아졌지만, 보안 솔루션 등에서 효율성이나 만족도를 느끼지 못하고 있다”며 “통상 다 막을 수 있다는 보안업체의 과도한 홍보로 기업에서 솔루션을 도입했으나, 막상 기대했던 목적을 달성하지 못한 측면이 많은 점도 보안예산 확대에 발목을 잡는 요소 중 하나”라고 지적했다.

큐브피아 권석철 대표도 “보안사고를 막기 위해 보안 솔루션과 장비를 도입하지만 여전히 보안사고는 발생하면서 보안 솔루션의 실효성 문제로 이어지고 있다”며 “많은 기업에서 도입 시 기대효과를 제대로 느끼지 못하고 있다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>