개인정보 유출사고가 터질 때마다 기업들은 비슷한 대책을 내놓는다. 시스템을 고도화하겠다, 점검을 강화하겠다, 모니터링을 보완하겠다고 한다. 틀린 말은 아니다. 다만 늘 빠지는 질문이 있다. 그 시스템을 실제로 돌리고 로그를 읽으며 이상징후를 초기에 잡아낼 사람이 충분하냐는 질문이다.
이제 보안사고는 장비가 없어서 일어나는 시대가 아니다. 솔루션은 이미 웬만한 기업에 다 들어가 있다. 문제는 운영이다. 정보보호는 기술보다 운영에 가깝고 운영은 결국 사람의 몫이다.
한국인터넷진흥원의 '2025 정보보호 공시현황 분석' 보고서에 따르면 분석 대상 757개 기업의 평균 정보보호 전담인력은 11.2명이다. 정보기술 인력 대비 정보보호 전담인력 비중도 평균 6.7%에 그친다. 기업들이 AI(인공지능) 전환과 디지털 전환을 말하지만 그 기반을 지키는 인력은 생각보다 얇다.
업종별 격차는 더 크다. 정보통신업의 평균 정보보호 전담인력은 25.4명, 금융 및 보험업은 22.8명이다. 반면 건설업은 3.4명, 보건업 및 사회복지 서비스업은 2.7명이다. 같은 개인정보를 다뤄도 어떤 기업은 조직으로 막고, 어떤 기업은 몇 명 안되는 인력으로 버티는 구조다.
보안의 위상과 투자규모가 함께 움직인다는 점도 눈에 띈다. CISO(최고정보보호책임자)가 임원인 기업은 전체의 70.9%인데 이들 기업의 평균 정보보호 투자액은 41억원, 평균 전담인력은 14.2명이다. 반면 CISO가 임원이 아닌 기업은 평균 투자액 10억원, 평균 전담인력 3.9명에 그쳤다. 보안을 중요하다고 말하는 것과 실제로 조직 안에서 중요한 자리로 대우하는 것은 다르다는 뜻이다.
결국 사고는 시스템이 아니라 빈약한 운영에서 커진다. 로그를 놓치고 권한을 과하게 열어두며 이상행위를 평소와 다르게 읽어내지 못할 때 사고가 터진다. AI 시대에는 이 문제가 더 커질 수밖에 없다. 데이터는 많아지고 공격은 정교해지는데 그 신호를 해석할 사람은 여전히 부족하다.
보안은 더이상 전산부서만의 일이 아니다. 기업의 신뢰문제다. 사람에게 돈을 더 쓸 필요가 있다. 사람이 부족하면 같은 사고가 반복된다. 개인정보 유출을 막는 마지막 방어선은 결국 장비가 아니라 사람이다.
