사이버범죄로 우리나라에서는 1억 건의 카드 계좌 정보가 유출된 사고가 있었고, 미국에서는 최대 소비자 기업인 홈 디포(Home Depot)의 신용카드 정보 5,600만 건이 유출되어 미국 전체가 공포에 떨기도 했다

최근 사이버 전쟁에 대한 공포 확산으로 전 세계적으로 보안관련 지출이 증가하고 있다. 다른 한편에서는 사이버 보안 산업에 투자하려는 자금들이 몰리고 있고, 이에 따른 관련 신생 기업들의 핵심 기술이 급속도로 발전하고 자산가치도 빠르게 높아지고 있다

이들의 기술과 자본력이 미래로 연결되는 ICT 융합시대의 자산과 안전을 지켜줄 버팀목이 될 것으로 보여 사이버 전쟁이 확산되고, 이에 대응할 보안 산업이 발전할수록 기반이 되는 첨단 네트워크에 대한 투자 필요성이 더욱 요구되고 있다.

인류를 향한 새로운 형태의 위협
전쟁은 인류의 역사와 함께 시작되었다는 말이 있다. 역사적으로 게릴라전이나 테러와 같은 비정규전 외에 정보전과 첩보전, 생화학전 등 다양한 형태의 전쟁이 발생해왔으며, 대부분의 전쟁에는 전방과 후방, 군인(warrior)과 민간인의 구분과 함께 종전과 휴전도 존재했다.하지만 최근 온라인상에서 벌어지는 해킹과 범죄, 보안문제로 인한 ‘사이버 전쟁’은 그간의 전쟁과는 좀 다르다.

국가가 기업을 공격하기도 하고 개인이 기업과 국가를 상대로 사이버 전쟁을 벌이기도 한다. 전쟁터나 군인 구분이 없어졌으며, 선전포고도 없이 일상으로 전쟁이 스며들거나, 심지어 자신이 공격을 당하고 있는지도 모른 채 자산과 정보가 새어나가기도 한다. 더욱이 네트워크가 고도화되고 디지털 세상으로 진화하면서 단 하루도 사이버 전쟁 상의 종전이나 휴전을 기대할 수 없게 되었다.

뚫으려는 자와 막으려는 자와의 보이지 않는 전쟁이 벌어지면서, 관련된 기술들이 부단히 진화하고 산업이 지속적으로 확대되는 시대가 도래 한 것이다.

세계 경제와 금융의 중심지가 사이버 범죄의 주된 표적이 되고 있는 것이다. 범죄 피해자가 주로 미국과 영국에 위치한다는 점은 최근 사이버 보안 산업에 대한 투자 역시 두 국가를 중심으로 이루어지는 것과 무관하지 않다.

FBI에 따르면 2013년 한 해에만 은행, 소매업, 방위기업을 불문하고 약 3천개 이상의 기업이 사이버 공격의 희생양이 되었다고 한다.  미국 사법당국인 DOJ(Department of Justice)는 ‘산업스파이법(The Economic Espionage Act)’이 제정된 이후 최초로 본 법을 적용하여 중국과 연관된 해커들을 기소하기도 하였다.

이러한 피해는 일반 가입자들에게도 더 이상 생소하지 않다. 우리나라에서는 1억 건의 카드 계좌 정보가 유출된 사고가 있었고, 미국에서는 최대 소비자 기업인 홈 디포(Home Depot)의 신용카드 정보 5,600만 건이 유출되어 미국 전체가 공포에 떨기도 했다.

이외에도 미국의 대표적 소비재 기업인 타겟(Target), 금융회사인 JP Morgan, 대형 백화점 니먼 마커스(Neiman Marcus), 인터넷 기업 야후(Yahoo), 통신사 AT&T, 온라인 상점 이베이(Ebay), 애플, 구글은 물론 유통사인 UPS와 백악관에 이르기까지 미국은 기업이나 정부를 불문하고 소위 ‘신상이 털린’ 셈이다.

ICT 컨설팅업체 PWC에 따르면, 인지된 사이버 범죄 건 수 만해도 2009년 이후 매년 평균 66%씩 증가하는 것으로 나타났다. 2009년에 340만 건에 이르던 사이버 보안관련 사고가 2014년에는 4,280만 건으로 5년 사이에 13배가량 증가했고 그 증가폭은 더욱 가파르게 상승하고 있다.

2014년 기준 하루에 12만 건의 사이버 사건, 사고가 발생한다고 생각하면 더 이상 사이버 보안은 남의 일이 아님을 알 수 있다. 문제는 인지되고, 신고 되는 사건사고만 통계에 포함되기 때문에 감지되지 않은 건수나 알려지지 않은 사건, 사고를 고려한다면 그 규모는 더욱 클 것으로 전문가들은 진단하고 있다.

2013년을 기준으로 가장 큰 피해를 입은 산업 분야는 소비자 대상의 유통산업으로 비중이 35%에 이르렀으며, 다음으로는 음식료 분야가 18%를 차지한 것으로 나타났다. 오히려 금융이나 기술 등과 같이 주요 공격 대상이 될 것 같은 분야는 전체 피해의 9%와 6% 정도로 비중이 낮았다.

이와 같은 현상은 비교적 단단한 방어체계를 갖추고 있어 상대적으로 적은 피해를 입은 것으로 나타났다고 보여 지는 것이다. 하지만 방어체계가 무너진다면 그 피해는 상상할 수 없는 대란이 일 것은 당연할 것이다.

특히 소매시장에서 일반화된 카드결제 정보는 중요한 개인정보를 포함할 뿐만 아니라 대량 확보가 가능하여 해커들의 가장 큰 표적이 되고 있는데 일반 소비자들이 사이버 범죄의 가장 큰 희생자가 되고 있음을 알 수 있다.

어떤 유형이든 범죄와의 전쟁은 가장 규모가 큰 사회적 비용이다. 지역을 불문하고 증가하는 사이버 범죄와의 전쟁으로 인한 비용은 전 세계적으로 매년 413조원에서 633조원에 이르고 있는 것으로 알려지고 있다. 우리나라 한해 국가예산이 375조원인 점을 감안해 볼 때 한 나라의 예산이 매년 사이버 범죄와의 전쟁비용으로 사용되어 없어지고 있는 셈이다.

이제 기업이나 정부 모두 더 이상 보안인프라 투자를 미룰 수 없게 되었다.  ICT컨설팅업체 Gartner에 따르면, 정보보안과 관련된 글로벌 지출은 2014년 기준 78조원에 달한다고 한다. 이는 전년대비 약 7.9% 증가한 수치이다. 올해에는 보안관련 지출이 지난해와 비교해 8.2% 증가한 85조원까지 늘어날 것으로 예상되고 있다.

실제 각 기업의 정보보안 투자와 지출을 담당하는 CIO들은 올해 보안에 대한 지출을 증액한 것으로 밝혀지고 있다. 미국의 투자은행 인베스트먼트 뱅크와 파이퍼 제프레이사가 조사한 바에 따르면 올해 기업들은 정보통신 관련 지출 중 보안 분야를 최우선 투자할 대상으로 꼽았다고 밝혔다. IT지출이라고 하면 주로 스토리지나 서버 증설을 떠올렸으나 이제는 보안이 가장 중요한 투자분야로 떠오른 것이다.

구체적으로 조사기업의 약 75%가 올해 IT 관련 분야 지출의 최우선 분야로 보안을 꼽았으며, 이는 지난해 59%에 비해 증가한 수치로 기업의 보안의식이 증가했음을 알 수 있다. 지난 2013년만 해도 기업들은 보안보다는 스토리지 확장 등에 더 많은 지출을 했으나, 지난해 가입자 정보유출 사건 및 SONY 해킹 등의 사건이 잇달아 발생하면서 역전된 상황이다.

기업들의 사이버 보안에 대한 인식과 보안투자 계획이 증가하고 있으나 직접적인 지출로 이어지는 것은 기업의 규모에 따라 다른 양상을 보이고 있다. 기업들을 대상으로 조사한 바에 따르면, 매출 규모가 중견기업 이상이 되어야 실제 투자로 이어지는 것으로 나타났다.

연간 매출 규모가 1.1조원이 넘는 대규모 기업이나 1,100억원에서 1.1조원 규모의 중견기업의 경우는 2013년 대비 지난해 정보보안 투자가 5%~7%까지 증가했다. 반면 매출 규모가 1,100억원 이하인 기업들은 오히려 20% 정도 보안 투자금액을 줄인 것으로 조사되었다.

대부분의 기업들은 5% 이상을 정보 보안에 투자한다는 것이 쉽지 않은 결정이다. 기업들은 사이버 보안을 여전히 IT 투자라기보다는 비용 지출이라고 인식하고 있다는 것도 장애요소로 작용하고 있는 것이다. 하지만 문제는 매출이 적은 소규모 기업들이 대기업들과 다르게 보안 관련 지출을 줄임으로써 보안에 취약한 상황에 노출될 가능성이 더욱 커졌다는 사실이다.

반면 우리나라의 정보보안 지출 수준은 글로벌 대비 낮은 것으로 나타났다. 지난해 미래부 조사에 따르면, 국내 조사대상 기업의 2.7%만이 IT분야 예상의 5% 이상을 정보보안에 투자할 것이라고 응답한 것으로 집계되었다. 영국과 미국에서는 조사대상 기업의 약 40%~50%가 5% 이상 지출할 것이라고 응답한 것과 큰 대조를 이루고 있다.

전체 투자총액 기준으로는 오히려 2013년보다 0.5% 감소한 수치여서 우리나라 기업들의 정보보안에 대한 관심이 상대적으로 낮은 것으로 확인되고 있는 것이다. 사이버보안에 대한 관심과 지출이 증가하면서 관련 산업계는 성장의 모멘텀을 맞이하고 있다. 전쟁과 냉전이 군수산업을 성장시켰듯 사이버보안 업계도 매년 급속히 발전할 것으로 전망되고 있다.

모든 것이 네트워크와 연결되는 시대로 본격 진입하는 미래사회에서 네트워크 보안에 대한 투자는 필수적이다. 현재 유선 27억 개체, 무선 50억 회선이 연결된 세상은 사람과 사람, 사물과 사물의 연결로 진화하면서 미래에는 전 세계 유무선 500억 회선이 연결되는 시대로 변모할 것이다.

이러한 초연결 시대에는 금융을 비롯해 산업과 장비, 의료 등이 모두 네트워크에 기반 하기 때문에 사이버 보안이 담보되지 않는다면 지금보다 더 큰 혼란을 초래하게 될 것으로 예측되고 있다.

전 세계에서 가장 많은 사이버 공격이 이루어지고 있는 미국에서 가장 많은 투자와 기술혁신이 이루어지고 있다. 낮은 진입장벽 덕분에 많은 신생 벤처기업들도 사이버보안 산업에 뛰어들고 있으며, 미국의 자유로운 M&A와 혁신의 분위기도 많은 신생기업으로 하여금 사이버보안 개발로 유도하는데 한 몫을 하고 있다.

하지만 전 세계적으로 네트워크 사업자들이 직면하고 있는 상황은 호락호락하지 않다. 시장은 점점 정체되고 치열한 경쟁으로 인해 수익은 감소하지만 3G, 4G, 5G로 이어지는 새로운 네트워크에 대한 투자주기는 점점 짧아지고 있다. 특히 네트워크 사업자보다 네트워크를 기반으로 하는 생태계에서 수익을 얻는 사업자의 규모가 증가함으로써 ‘누가 돈을 지불할 것인가?’라는 문제가 점차 심각해질 것으로 예상되고 있다.

“네트워크에 기반 한 사이버 전쟁에서 네트워크 사업자는 희생자이자 방어자로만 머물고 관련 산업의 성장 수혜는 생태계의 또 다른 참여자가 가져가는 악순환이 되풀이 되어서는 안 될 것”이라고 KT경제경영연구소 김성철 연구원은 지적했다.

또한, “보안에 투자할 여력이 없는 소규모 기업들에게 안전한 네트워크 서비스를 제공하고 그에 따른 수익이 다시 네트워크 고도화에 투자될 수 있도록 정책당국의 관심이 필요한 시점”이라고 조언했다.