수도권과 지방의 격차를 줄이는 일은 정부의 숙원 과제다. 정보보호 분야에서도 마찬가지다. 수도권과 지방 기업의 경영 환경의 격차로 인해 정보보호에 투자하는 규모가 달라지고 결국 정보보호 수준에도 차이가 발생한다.
기업의 규모가 작을수록, 특히 지역에 소재한 중소기업은 정보보호 전담인력, 예산, 교육 등 정보보호 전반에서 충분한 대응하지 못한다. 한국인터넷진흥원의 '2014년 정보보호 실태조사' 결과 정보보호 관련 정책을 수립하고 있는 기업은 9%에 불과하다. 기업 규모에 따라 비율은 낮아져 5인 미만 기업은 약 3%만이 정보보호 정책을 만든다.
정보보호 정책 수립 비율은 중요한 지표다. 기본 바탕을 만들지 않은 기업은 실천에 나설 확률이 더욱 떨어지기 때문이다. 물론 이외에도 이를 수행하는데 인력과 예산 확보가 필요하다. 또 정보보호의 중요성에 대한 인식을 구성원이 함께 공유하고, 실행 가능한 세밀한 계획을 세워 지속적으로 실천하는 기업문화도 중요하다.
지역의 중소기업은 상대적으로 모든 측면에서 빈약함을 드러낸다. 정보보호 예산과 인프라, 인력이 부족해 정보보호 대응 수준이 취약하다. 공격자의 주요 표적이 되거나 악성코드 경유지로 이용돼 왔다. 사이버 공격의 특성상 한 곳의 정보보호 취약점은 연결된 다른 업체와 산업 전체의 피해로 이어질 수 있다.
기업이 스스로 정보보호 계획 수립, 보안장비 구축, 정보보호 전담조직 및 정보보호 전문 인력 운영 등을 통해 정보보호 수준을 제고하고, 최신 보안 위협에 대응할 수 있는 능력을 갖춘다면 좋겠지만, 이도 중소기업에는 적잖은 부담이다. 이는 지역마다 정보보호지원센터가 만들어진 이유다.
정보보호지원센터는 한국인터넷진흥원과 미래창조과학부가 정부3.0 정책 방향에 따라 지역 중소기업에 현장 맞춤형 정보보호를 지원하고 지역인재 양성을 통해 정보보호 산업을 발전시키기 위해 설립했다. 현재 인천, 대구, 광주, 청주, 부산 등 전국 5개 지역에 센터를 운영되고 있고 2017년까지 전국에 총 7개 센터를 구축할 계획이다.
정보보호지원센터는 맞춤형 정보보호 기술 지원과 인식 확산을 중심으로 활동하고 있다. 기업 주요 정보를 보호하고 해킹, 바이러스 등 인터넷 침해사고를 예방하기 위한 취약점 점검과 컨설팅 등을 무료로 제공한다. 기업이 스스로 정보보호를 실천할 수 있는 자생력을 기르는데 초점을 맞추고 있다.
맞춤형 정보보호 전문교육을 통해 사업적 수요를 반영한 실무능력을 갖춘 전문가를 양성하는데도 공을 들이고 있다. 정보보호는 다른 어떤 IT(정보기술) 분야보다 담당자의 능력이 중요한 곳인데 반해 전문가급 인력 수는 모자란 상황이기 때문이다. 지방은 특히 수도권보다도 인력난 해결이 중요한 과제다.
센터 운영이 제 효과를 발휘하려면, 지역 중소기업 스스로가 정보보호에 대한 책임감을 느끼는 문화가 절실하다. 기업이 정보보호 투자 필요성을 깨닫지 않으면 센터 운영이 아무런 효용이 없는 셈이다. 규모도 산업군도 중요하지 않다. 산업 전 분야가 ICT를 기반으로 재편되는 상황에서 정보보호가 담보되지 않는 서비스와 제품이 초래할 위협은 상상할 수도 없다. 한 기업의 소극적인 태도로 인해 전국민이 사물인터넷(IoT), 핀테크 등 융합 ICT 환경에서 전혀 다른 형태로 전개될 사이버 위협에 속수무책으로 당할 수밖에 없다.
새해가 되면 지난해 이루지 못한 일들에 대한 미련과 아쉬움을 뒤로한 채, 새롭게 맞은 한 해의 계획을 세우며 힘찬 출발을 다짐한다. 이 시대에 기업의 정보보호에 대한 책임과 노력은 일년 내낸 이어져야 할 결심이고 실천해야하는 계획이다. 올해만큼은 매년 되풀이되는 구호적 의미에서 정보보호가 아니라, 1년 365일 기업 현장 곳곳에서 실천하는 정보보호의 한 해가 되기를 기대해 본다.