[biz칼럼] 정보보안, 비용 아닌 투자다
미국의 대형 유통업체 타깃코퍼레이션은 2013년 일어난 고객 신용카드 해킹 사건으로 1억6200만달러(약 1773억원)의 복구비용을 지출해야 했다. 소니픽처스 또한 2014년의 해킹사고로 지금까지 시스템 복구비용으로만 7000만~8000만달러(약 840억~960억원)를 지출했고 매출손실과 평판도 저하 같은 간접손실까지 합하면 피해액이 수억달러에 이른다.

한국의 기업들도 이런 대규모 정보보안 사고에서 자유로울 수 없다. 기업들이 피해 규모를 밝히지는 않고 있지만 2013년 은행권 해킹으로 일어난 전산망 마비사건을 비롯해 KT, SK텔레콤에서 발생한 1200만명 고객 데이터 유출 사건도 그 피해 규모가 작다고 볼 수 없다.

최근 기업 경영에서 정보보안이 중요한 이슈로 대두되고 있다. 이에 대한 국민의 인식도 많이 높아졌다. 정보보안 위험은 갈수록 커지고 있다. ‘118 사이버 민원센터’에 보고된 자료를 분석해보면 개인정보 침해, 해킹, 바이러스 등의 보안침해 건수는 해마다 증가하고 있다. 정보유출 사건도 지난해 10월 말 기준, 47만8490건으로 2010년에 비해 30% 늘었다. 문자메시지를 열어보지 않아도 휴대폰 내 정보를 모두 탈취해가는 악성코드 스테이지프라이트(Stagefright)처럼 해커들의 공격 수법도 날로 지능화하고 있다.

한국 기업들의 정보보안에 대한 투자는 미미하기 그지없다. 한국인터넷진흥원의 조사에 따르면 국내 기업의 약 2%만이 정보기술(IT) 예산의 5% 이상을 정보보안에 투자하고 있는데 이는 선진국 기업의 40~50% 수준에 크게 못 미치는 것이다. 정보보호를 위해서는 관련투자가 중요하다.

하지만 기업 최고경영자(CEO) 입장에서는 미래의 보안사고를 방지하기 위해 투자를 결정하기가 쉽지 않다. 또 사용되는 예산은 투자라기보다는 비용으로 인식하기 쉽다. 그러나 정보기술(IT) 의존도가 높아질수록 정보보안 사고로 인해 기업이 입는 직간접적 피해는 커질 수밖에 없다.

따라서 기업은 정보보안에 들어가는 예산을 비용이 아니라 투자라는 측면에서 접근해야 한다. 인터넷에 연결된 시스템을 가진 기업이라면 정보보안 사고가 언젠가는 필연적으로 일어날 가능성이 상존한다. 이를 미연에 방지해 손실을 줄이는 적극적인 관점에서 과감한 투자가 필요하다.

세계적으로 약 20억명이 인터넷에 연결돼 있으며 2020년에는 사물인터넷(IoT)의 생활화로 약 500억개의 기기들이 인터넷에 연결될 것이라고 한다. 세상의 모든 사물과 사용자가 인터넷으로 연결된 세상에서는 정보보안 문제가 발생하면 기업 하나의 존폐뿐만 아니라 국가안위까지 뿌리째 흔들릴 수 있다.

기업과 고객의 관계정보 가치가 그 어느 때보다 중요해지고 있다. 기업들은 이런 정보를 수집하는 데 많은 비용을 쏟아붓고 있다. 그러나 이제는 정보를 획득하는 데뿐만 아니라 획득한 정보를 잘 보호하고 유지하는 데에도 더욱 신경을 써야 할 때다.

나날이 늘어가는 악성코드 등 정보보안 리스크에 적극적으로 대응하지 못한다면 미래에 발생할 잠재적 손실을 손 놓고 기다리는 것과 다를 바 없다. 기업이 정보보안 사고에 휘말리면 주식가치가 약 2.1%가 떨어지고, 정보보안 분야에 대한 투자 발표는 주식 가치를 약 1.46% 끌어올린다는 연구결과도 있다. 기업 CEO뿐만 아니라 투자를 결정하는 모든 이해관계자들은 정보보안에 대한 투자가 기업가치 보전에도 커다란 영향을 미친다는 사실을 알아야 한다.

채상미 < 이화여대 교수·경영학 smchai@ewha.ac.kr >