정보보호 예산 확보 최대 난제…절반만 실제 예산 집행
침해사고 인지 못한 기업 7.5%…탐지 체계 미흡 드러나
국내 기업 10곳 중 8곳이 정보보호의 중요성을 인정하면서도 정작 현장에선 예산과 인력 부족으로 보안 공백이 이어지는 것으로 나타났다.
과학기술정보통신부는 27일 정보보호산업협회와 함께 실시한 '2025년 정보보호 실태조사' 결과를 발표했다. 조사는 종사자 10인 이상 기업 5천500개와 만 12~69세 인터넷 이용자 3천명을 대상으로 진행됐다.
조사에 따르면 기업의 80.6%는 정보보호가 중요하다고 인식했다. 그러나 실제 대응 여력은 이에 미치지 못했다. 정보보호 업무의 가장 큰 애로사항으로는 예산 확보(49.1%)가 꼽혔다. 이어 시스템 및 체계 운용 관리(45.7%), 제품·서비스 탐색(42.6%) 순으로 나타났다.
현실은 더 냉정하다. 정보보호 예산을 실제로 사용하는 기업은 54.8%에 그쳤다. 절반 가까운 기업이 보안 투자 자체를 하지 않는 셈이다. 예산이 투입되더라도 제품 유지보수(78.0%)와 폐쇄회로(CC)TV 설치·증설(57.4%) 등 기초 영역에 집중됐다. 전략적 보안 투자로 이어지지 못하는 구조다. 예산을 쓰지 않는 이유로는 '사업과 무관하다'는 응답이 37.0%로 가장 많았다.
조직과 인력도 취약하다. 정보보호 전담 조직을 갖춘 기업은 35.3%에 불과했다. 기업 규모가 작을수록 교육 실시율이 낮아 보안 역량 격차도 뚜렷하게 나타났다.
침해 대응 능력 역시 한계를 드러냈다. 기업의 침해사고 경험률은 0.2%로 낮았지만, 7.5%는 침해 여부 자체를 인지하지 못했다고 답했다. 피해를 입고도 모르는 '사각지대'가 존재한다는 의미다. 사전 탐지 체계 강화가 시급한 이유다.
개인 부문은 양상이 달랐다. 국민의 72.5%가 침해사고를 우려했고, 59.2%는 관련 사고를 자신의 문제로 인식했다. 실제 침해사고 경험률은 8.5%였다. 유형은 모바일 기기 해킹(44.7%)과 컴퓨터 해킹(34.9%)이 대부분을 차지했다.
다만 대응은 소극적이었다. 침해사고 발생 시 관련 기관에 신고한 비율은 41.2%에 그쳤다. 신고하지 않은 이유로는 '피해가 크지 않아서'라는 응답이 59.7%로 가장 많았다. 경미한 피해를 방치하는 문화가 반복 피해로 이어질 수 있다는 지적이 나온다.
임정규 과기정통부 정보보호네트워크정책관은 "이번 조사는 산업 전반의 보안 수준을 진단하고 중장기 정책 수립의 기초 자료로 활용된다"며 "고도화되는 사이버 위협에 대응하기 위해 정보보호 역량을 지속 강화하겠다"고 했다.
