보안 투자 소홀한 중소기업…”솔루션 비용 부담 때문에”

중소중견기업은 기업 보안에 대해 솔직히 어떤 생각을 하고 있을까.

지금까지 규모가 작은 기업은 ‘보안에 대한 인식이 부족해서 정보보호에 투자하지 않는다’라는 의견이 대부분이었다. 그러나 최근 지란지교소프트가 실시한 설문조사에 따르면, 인식보다는 솔루션 비용을 이유로 중소·중견기업이 정보보호에 투자하지 않는 것으로 나타났다.

지란지교소프트는 전산담당자 커뮤니티 쉐어드IT와 함께 1월25일부터 2월5일까지 중소기업의 정보보안 현황을 조사했다. 국내 458개 기업이 설문조사에 응답했다.

이번 조사에 따르면, 기업의 80.9%가 ‘외부 유출 시 피해가 예상되는 중요 정보(설계도면, 기술정보, 경영정보, 고객정보)를 보유하고 있다’라고 응답했지만, 정작 이런 중요 정보를 보호하기 위해 ‘2015년 비용을 투자했다’라고 답한 기업은 전체 기업 중 24.7%에 불과한 것으로 나타났다.

응답자 과반수가 정보보호에 투자하지 않는 이유에 대해 ‘비싼 솔루션 구축 비용 때문'(49.4%)이라고 답했으며, ‘보안 전문가의 부재'(15.7%), ‘기술적 조치에 대한 이해부족'(14.6%), ‘필요성 느끼지 않음'(10%)등이 차례로 뒤를 이었다.

이같은 조사 결과에 대해 박상호 지란지교소프트 오피스웨어사업부 부장은 “중소기업은 우리나라 국가 경제의 99%를 차지한다”라며 “정보보호 투자 및 전문인력 배치 등 현실적인 어려움이 있는 중소기업들에 실질적인 도움이 될 수 있는 방향으로 제품을 발전시켜 나갈 것”이라고 말했다.

이번 설문조사에 응답한 기업이 완전히 보안에 관심이 없는 건 아니다. 설문에 참여한 기업 83.2%는 ‘자체 보안 규정을 가지고 있다’라고 답했다. 보안을 위한 임직원 관리실태를 살펴보면 기업 중 73%는 직원 채용 시 보안서약서를 작성하고 있으며 62%가 보안 교육 실시, 64%가 주요 임직원 퇴사 후 동향을 파악하고 있는 것으로 나타났다.

그러나 응답 기업 중 82%가 보안 규정을 제대로 지키지 못하는 것으로 나타났다. 주로 현업 업무를 하는데 번거롭고(48.6%), 보안 솔루션이 없으며(24.5%), 관련 담당자가 없다(11.7%)는 이유를 들어 보안 규정이 지켜지지 않는것으로 드러났다. 실제로 기밀 유출 등 실제 정보유출 사고 발생시에는 응답 기업의 35.2%만 조치를 취할 수 있었다. 나머지 응답 기업의 65%는 임직원 관리방침 없어 사람을 통한 기업의 보안사고 발생에 대한 대비책이 없다고 답했다.

실제로 정보자산을 관리하는 전담직원이 있는 기업은 35.9%에 불과했다. 겸업(48%)을 하고 있는 경우가 많았고, 아예 담당자가 존재하지 않는 기업도 16.1%에 이르렀다. 그러나 향후 비용을 투자한다면 기업 응답자 중 45%는 내부 정보 유출 방지(DLP) , 40% 기업이 문서보안(DRM), 24%가 백신, 23%는 방화벽, 19%는 출력물 보안을 도입할 것으로 응답해 정보보안 의지는 있는 것으로 파악됐다.

지란지교소프트는 이번 설문 조사 결과를 두고 “설문에 참여한 기업의 91%가 중소기업이고, 효율을 추구하는 중소기업의 특성상 다른 우선순위에 밀려 인력 투자를 하지 못하는 것으로 보인다”라며 “응답 기업의 40.1%가 외부 문서를 수신하고 발송하는 것에 대한 로그를 기록하지 않는 등, 실제 정보유출 발생시 중소기업을 속수무책으로 피해를 입을 수 밖에 없는 상황으로 이는 기업의 대다수가 백신과 방화벽 등 외부공격에 대비한 가장 기초적인 보안에만 공을 들이고 있기 때문인 것으로 보인다”라고 분석했다.