특별기획 06 - 국내 정보보호산업의 현주소 및 산업투자 촉진방안
여기에서는 국내 정보보호산업의 현주소를 조명해 보고, 정보보호산업의 활성화와 투자를 촉진하기 위한 활동에 무엇이 있는지를 정부정책과제 중심으로 서술해 보고자 한다.
무엇보다도, 국내 정보보호산업에 대해 정부나 공공기관 및 기업 등에서 정보보호에 대한 투자를 실질적으로 확대해야 하고, 지속적으로 정부의 정책적 지원책이 강구되어 산업이 활성화되어야 한다.
국내 정보보호산업의 현 주소
국내 정보보호 시장의 첫번째 특징은 시장규모가 협소하다는 것이다.
세계시장 규모는 2013년 1,900억달러로 스마트 콘텐츠(1,985억달러) 시장규모이나, 국내시장 규모는 2013년 53억달러(세계시장의 2.8% 점유)에 불과하지만, 연평균 성장률은 18.1%로 세계시장(연평균 성장률 10.5%)보다 높은 미래 먹거리산업으로 부각되고 있다.
시장구조는 미국, EU 등 선진국은 정보보호서비스 중심으로 발전 중이나, 국내는 여전히 정보보호제품, 공공위주(약 50%)의 시장구조이다.
또한, 국내 정보보호산업은 대부분 영세한 중소기업으로 구성되는 특징을 보인다.
글로벌기업인 Symantec과 체크포인트는 2013년 각각 7조 4천억원과 1조 4천억원 규모의 매출규모를 달성하는 등 국외기업은 활발한 M&A 등을 통한 대형화로 10대 글로벌 기업이 세계시장 25%를 점유하며 시장지배력을 높이고 있는 반면에, 국내기업은 M&A가 전무하여 대부분 매출액 300억원 미만의 업체가 약 92%에 달하며, 매출은 대부분 내수시장에 의존하는 실정이다.
국내 대표적인 보안기업인 안랩과 시큐아이 및 인포섹 역시 매출규모는 1,000억원 정도에 불과하다.
우리나라의 일반기업들과 정부는 정보보호 투자에 너무 인색한 문제점을 보이고 있다.
미국의 정보보호 예산은 꾸준히 증가하고 있으나, 국내는 사고에 따라 정부예산이 늘었다 줄었다 하는 고무줄 예산이다.
2013년 기준으로 미국은 사이버 보안에 125억달러의 예산을 투입하고 있으나, 우리나라는 2.6억달러로 미국의 1/50 정도에 불과하다.
기업들은 정보보호를 투자가 아닌 비용으로 인식하여 정보보호 투자가 미국 등에 비해 현저히 낮고 저조한 실정이다.
정보보호 정책을 수립한 기업의 수가 미국은 전체 기업의 60%에 달하는 반면 한국은 17%에 불과하며, IT예산 중 정보보호에 5% 이상 투자하는 기업은 미국이 40% 이상인 반면 우리나라는 3%에 불과한 실정이다.
반면, 정보보호 기업들은 인력수급에 있어서 구인난이 가중되고 있다. 정보보호 인력의 수요는 지속적으로 증가하고 있으나, 수요분야 및 수준별 교육이 제대로 이행되지 않아 인력의 양적·질적 수급차가 발생하고 있다.
한국인터넷진흥원의 2012년도 정보보호 인력수급 실태조사에 따르면, 정보보호인력 부족분은 2013년도 1,767명, 2014년도 2,144명 정도이며, 2017년까지 약 13,000여명으로 인력 부족분이 지속적으로 증가할 것으로 예상된다.
대학 등 정규교육기관을 통해 연간 800명 이상 배출되나, 대부분 일반적 수준에 머무르며, 실무능력이 뛰어난 졸업생이 부족하며, 정보보호인력의 커리어패스 역시 분명하지 않은 실정이다.
대학과 공공 및 민간분야의 정보보호 교육기관들은 지역편중, 커리큘럼과 수준, 인프라가 상이하고 양성된 인력의 수준예측이 곤란하여 기업 채용담당자들의 혼란을 가중시키고 있는 반면에, 학생들은 불안한 미래와 낮은 처우 등으로 우수인력이 취업을 기피하고, 진학과 군복무 및 취업 등의 3대 고민으로 인해 생계형 크래커로 전락할 우려가 있다.
또한, 글로벌 정보보호기업들은 원천기술에 집중투자하나, 국내는 기존제품 개선에 주력하고 있는 기술수준에 머무르고 있다.
미국과 EU 및 이스라엘 등은 우수한 기초과학과 핵심 원천기술을 기반으로 새로운 보안이슈를 해결하기 위한 사업화 기술개발에 주도하고 있는 반면, 국내기업은 기초·원천기술 부족(기술격차 1.6년)으로 혁신적 신규제품 개발보다는 이미 시장에서 포화징후를 보이는 기존제품의 품질개선만 주력하고 있는 형편이다.
선진국은 빅데이터·클라우드 컴퓨팅 등 IT트렌드 변화에 능동적으로 대응하여, CCTV의 지능화, 자동차와 사회기반시설 등 타산업과의 융합보안 문제에 대한 연구개발를 활발하게 진행하고 있다.
미국은 국가전체 R&D의 0.47%인 7천억원 정도를 정보보호에 투자하나, 우리는 약 0.15%인 266억원 정도를 정보보호 연구개발에 투자하는 실정이다.
정보보호산업에 대한 적극적인 투자촉진 방안
그러면 우리나라는 어떻게 해야 할까? 최우선적으로 정부·공공기관의 정보보호에 대한 투자를 대폭 확대해야 한다.
정부·공공기관의 정보화예산 대비 정보보호 예산을 10% 이상 수준(현재 약 5%)으로 확대가 필요하다.
정보시스템 구축 및 유지·보수사업, 정보화 시범사업 등의 예산편성·심의시 정보보호 예산이 일정비율(10% 이상)을 포함토록 기재부의 ‘예산편성 지침’ 및 각 부처 예산안 심의에 반영이 시급히 요구된다.
정보보호 기초·원천기술 및 사업화기술 개발확대를 위하여 R&D투자를 정보화 예산 대비 10% 이상 확대를 목표로 매년 예산규모를 확대해야 한다.
2014년도 정부의 IT기술개발 예산은 4,500억원인데 반해, 정보보호는 220억원으로 5% 수준인 바, 이는 미국 등 선진국에 비해 매우 미흡한 실정이다.
정부·공공기관의 정보보호 투자를 담보하기 위하여 정부 업무평가 및 공공기관 경영평가 등에 정보보호 부문을 평가항목으로 반영하여야 한다.
경영실태 평가(금융감독원), 정부재정지원제한대학 평가(교육부) 등 부처별로 운영되는 경영평가에도 정보보호 항목을 반영하여야 한다.
정보보호시스템은 신규위협에 대응할 수 있는 서비스를 상시적으로 제공해야 하기 때문에, 단순한 유지관리 대가가 아닌 이에 상응하는 서비스 대가로 개념을 전환하여 비용의 현실화가 시행되어야 한다.
이를 미래부의 서비스 대가산정 가이드라인과 기재부의 예산편성지침에 반영하여, 정보보호시스템 관리서비스 대가를 2014년도 9%에서 2017년도까지 15% 규모로 확대할 정부의 의지가 시급히 요구된다.
정보보호 제값받기 문화정착을 위해 정보보호 표준계약서를 마련하고, 이를 통해 발주관행을 개선해야 한다.
무상유지보수 기간을 기존 1년에서 6개월로 단축하며, 예산지침에 명시된 정보보호제품 및 서비스에 대한 분리발주를 적용하고, 민관합동 모니터링센터 운영을 제안한다.
특히 기재부 예산편성지침의 정보화사업 부문에 정보보호 표준계약서 적용신설 및 「정보보호산업진흥법」 제정법률안 등에의 반영을 제안한다.
정부는 기업이 정보보호 투자를 촉진할 수 있도록 관련부처의 운영지원을 강화해야 할 필요가 있다.
기업이 정보보호 투자시에는 직접 비용에 대한 조세감면 확대를 추진하여야 한다.
「조세특례제한법」에 따른 7% 조세감면을 10% 이상 확대할 필요가 있다. 단 대기업은 기존 3% 유지를 제안한다.
기업의 정보보호 강화를 위해서는 컨설팅을 통한 수준진단 및 보안대책 마련이 필요하므로, 이를 위한 정보보호 서비스(컨설팅 등)투자비용 조세감면(5%) 신설을 위한 「조세특례제한법」 제25조 개정을 제안한다.
고용부 소관 고용창출지원사업에 정보보호분야를 추가하여 중소기업이 정보보호 신규인력 채용시 1인당 월 최대 100만원을 보조하며, 중소기업의 안정적 정보보호 전문인력 확보를 위해 수혜인력에 대한 의무복무제도를 검토할 필요가 있다.
정보보호 투자 등 정보보호 우수기업이 정부·공공조달 및 국가연구개발사업 등에 참여시 가점부여제도를 제안한다.
조달청 적격 심사기준(일반용역, 물품구매 등)의 수인성 심사항목에 정보보호 우수기업 0.5~1점 추가하며, 「국가연구개발사업의 관리 등에 관한 규정」에 우대조항 신설을 검토할 것을 제안한다.
기업이 정보보호 관련보험 가입시 보험료 할인대상을 현재 ISMS 인증기업에 대한 최대 15% 할인에서 정보보호 우수기업 대상 5%~15% 할인할 것을 제안한다.
자율적 정보보호환경 조성을 위한 제도도입과 정보보호인증을 강화를 제안한다. 기업에서의 보안투자의 확대 및 자발적 정보보호역량 강화를 유도하기 위한 민간 자율경쟁 방식의 정보보호평가제도 도입을 지원하는 것이다.
대기업뿐만 아니라 중소기업 및 비 ICT 분야 등 보안 취약부문에 정보보호평가제도 확산을 통한 정보보호 사각지대를 단계적으로 해소해야 한다.
이를 위해 ICT와 금융 그리고 의료 및 교육 등의 기업업종과 대·중소 등 기업의 규모를 고려한 맞춤형 평가모델 및 평가지표 마련을 제안한다.
정보보호관리체계(ISMS) 의무인증 기업확대 및 인증품질 제고, 사후관리·감독 강화 등 정보보호인증의 실효성을 제고하는것이 필요하다.
경제·사회적 큰 파급력을 갖고 있으며, 일정규모 이상의 개인정보를 보유한 기업을 인증의무 대상으로 확대할 필요가 있다.
연간 총매출액이 1,000억원 이상이면서 정보통신망을 통한 개인정보 저장·관리규모가 일일 평균 1,000만명 이상인 기업은 약 500여개로 추정되며, 인증심사원 역량제고 및 인증심사 항목개선 등 인증심사 강화를 통한 엄격한 인증품질 관리를 추진할 필요가 있다.
정보보호공시제도를 도입을 제안한다. 정보보호에 대한 기업의 투명성과 책임의식 제고를 위하여 기업이 정보보호 투자현황과 사고이력 등을 공개하는 정보보호 공시제도를 도입한다.
단기적으로는 기업이 자발적으로 정보보호인증·평가 취득여부를 공개할 수 있도록 투자지원과 세재혜택 및 가산점 부여 등의 활성화방안을 마련할 것을 제안하며, 장기적으로는 기업의 정보보안 수준 공시제도 마련하여 추진하고, 주요기업과 금융권 및 정보보안업계 등을 중심으로 정보보호포럼을 구성·운영할 것을 검토할 필요가 있다.
금융과 통신 그리고 의료 및 인터넷서비스 등의 개인정보 다수 보유기업을 우선 대상으로 정보보호공시제도 도입을 우선 시행토록 한다.
또한, 영세·중소기업 정보보호 자립을 위한 지원을 강화할 것을 제안한다.
전체 중소기업의 49.9%가 서울·경기 이외의 지방에 소재하는 현실을 감안하여, 중앙의 개인정보보호 및 정보보호 서비스 수혜가 부족한 지방권역별 정보보호지원센터 구축으로 현장밀착형 지원이 필요하다.
지방 영세·중소기업의 정보보호활동 지원을 위한 지역맞춤형 정보보호 원스톱 서비스체계를 구축·운영하여 전문가의 현장방문, 온라인 상담, 컨설팅 등 정보보호 애로사항을 해결·지원하고, 기업 스스로 홈페이지 취약점을 확인하여 외부로부터의 해킹공격을 방어할 수 있는 휘슬과 캐슬 등의 보안도구를 악성코드 유포 및 경유지로 재악용될 확률이 높은 기업을 대상으로 제공하며, 개인정보를 보유한 중소기업 홈페이지에 대한 취약점 점검서비스를 현재 연 3,000개에서 6,000개로 확대할 필요가 있다.
정보보호 기술 및 전문인력이 부족한 영세 중소기업이 클라우드 서비스를 받을 수 있도록 지원하면서, 정보보호 지원서비스를 제공할 필요가 있다.
클라우드 시범서비스 제공기관을 선정하여 암호화와 침입탐지 등 정보보호 조치와 개인정보를 취급하는 영세기업의 보안성 향상을 도모한다.
우선적으로 상시종업원수 10인 미만 사업자 중에서 10만명 미만의 개인정보를 처리하는 사업자를 대상으로 서비스를 제공한 다음 이를 점차적으로 확대할 것을 건의한다.
정보보호 투자촉진을 위한 기반조성이 필요하다. 기업의 보안투자 확대 및 자발적 정보보호역량 강화를 위하여 정보통신서비스 제공자의 정보보호최고책임자(CISO) 지정을 의무화하며, 매출 1,000억원 및 개인정보 1,000만명을 보유한 일정규모 이상의 기업은 CIO와 CISO를 동급으로 분리지정 및 실무전문 전담인력 배치를 권고한다.
정부·공공부문의 개인정보 관리 및 침해사고 대응력을 높이기 위해 각 기관의 정보보호책임관 직급을 격상하고 실무 전담인력 배치를 권고한다.
현행 「정보통신기반 보호법」 시행령 제11조에 따른 정보보호책임관 지정을 과장급에서 국장급으로 격상하며, 기반시설 정보보호 전담인력을 두도록 하는 조항신설을 건의한다.
정보보호평가제와 기업지원 및 인센티브 등의 정보보호산업 투자촉진과 전문인력 양성 그리고 기술개발 및 산업활성화 지원 등을 포함한 정보보호산업 관련법률 제정이 시급하게 요구된다.
맺음말
국내 정보보호산업을 세계적 수준으로 발전시키기 위해서는 정보보호산업에 대한 투자의 활성화와 정보보호산업의 성장동력화 그리고 정보보호인력 수급난해소 및 세계를 주도하는 정보보호 기술개발이 전제가 되겠지만, 우선적으로 국내 정보보호산업의 활성화를 도모하기 위해서는 정부나 공공기관 및 기업 등에서 정보보호에 대한 투자를 실질적으로 확대해야 하고, 지속적으로 정부의 정책적인 지원책이 강구되어 시행되어야 한다고 본다.
이러한 정보보호산업 육성대책을 통해 우리 보안기업들이 글로벌 선두기업으로 발전하며, 기업과 공공기관의 기밀정보 및 고객들의 개인정보 보호수준이 세계 1등 수준으로 발전할 그날을 꿈꾸며 글을 맺는다.