오길록 < 한국전자통신연구원장 groh@etri.re.kr > 우리나라 기업들의 60%는 정보 보호 및 보안을 위해 정보기술(IT) 분야 투자예산 대비 약 5% 미만의 비용을 지출하고 있다. 또 기업이 이용하는 정보 보호 제품도 대부분 수동적이고 사후대응 중심의 방화벽이나 바이러스 백신이 주를 이룬다. 이와 같이 정보 보호 및 보안에 대한 투자가 아직 미비한 데 반해 지난 3년간 국내에서 일어난 해킹에 의한 피해 건수는 매년 2배 이상의 증가세를 기록,올해의 경우 5천건을 넘어선 것으로 추정된다. 며칠 전 세간을 시끄럽게 했던 휴대폰 핵심기술의 중국 유출사건은 기업의 정보 보호 및 보안에 대한 의식전환 필요성을 환기시키는 계기가 되고 있다. 특정기술의 불법적인 해외 유출은 적게는 수백억원에서,많게는 수조원에 이르는 국가적인 손실을 초래하고 종국에는 수년 또는 수십년간 쌓아온 기술경쟁력이 한꺼번에 유실되는 결과를 가져올지도 모른다. 한국사회는 국방과 치안이라는 하드웨어적인 보안에는 많은 예산과 인력을 투입,총력을 기울이고 있다. 그러나 지식기반사회의 핵심 경쟁력을 좌우하는 정보기술에 대한 보안대책은 미흡하다. 앞서 언급한 5천여건에 이르는 해킹의 절반 이상이 기업이나 연구소를 대상으로 발생한 것이었는데 공격 대상이 점차 광범위해지고 그 수법 또한 기술 발전과 더불어 더욱 복잡하고 고도화되는 경향이 있어 적극적인 보안대책이 필요하다. 소프트웨어적인 보안시스템 구축을 위해서는 적정 규모의 예산이 투입돼야 한다. 또 정보 보호 및 보안 분야에 대한 적절한 예산 책정을 유도하기 위해서는 무엇보다도 인식 전환이 선결돼야 한다. 아직까지도 기업이나 기관은 보안 분야에 대한 지출을 일회성 손실비용의 개념으로 보는 시각이 대부분이다. 금년에 발생한 주요 피해사례 중 관심이 집중되고 그 규모도 컸던 코드 레드(Code Red),님다(Nimda) 바이러스와 같은 경우에는 사후대응에 많은 비용을 지출해야 했다. 이는 보안에 대한 인식 부족과 미온한 대책 마련이 가져온 결과라고 볼 수 있다. 그렇다면 어떤 방향으로의 인식 전환이 요구되는가. 우선 정보 보호 및 보안 분야에 대한 투자를 손실비용이 아닌 기회비용으로 과감히 설정할 수 있는 개념 전환이 필요하다. 이에 대한 투자를 하지 않았을 때 발생할 수 있는 사후 수습비용과의 비교대조를 통해 기회비용을 일차적으로 가늠하고 지출행위의 경제성을 검토해야 할 것이다. 기업이나 단일기관의 입장에서는 기회비용의 비교만으로 적절한 투자를 정당화하기가 쉽지 않다. 그런 측면에서 정부의 역할은 정보 보호 및 보안의 미비함으로 인해 발생할 수 있는 제반비용을 국가 정책적 차원에서 가늠하고 그것을 거시적 위험보장을 위한 필수적인 비용지출로 정당화하는 것이다. 초고속네트워크시대 지식기반사회에서 우리 기업과 기관의 귀중한 정보기술은 더 이상 하드웨어적인 보안만으로는 안전성을 보장하기 어렵다. 소프트웨어적인 보안,다시 말해 조직적인 정보 보호 체제와 튼튼한 보안시스템 구축이 병행돼야만 완벽한 보안을 기할 수 있는 것이다. 안전이 보장되지 않는 지식기반사회는 대문만 있고 담은 없는 무주공산(無主空山)의 보물창고와도 같다. 이제는 정부 차원에서 적극적으로 기술보안 대책을 강구,정보 보호 정책을 구체화하고 선행적으로 추진해야 할 것이다.