진퇴양난 IT 업계 "대문 열고 해킹 당하란 꼴"

과학기술정보통신부 등이 지난 22일 내놓은 범정부 정보보호 종합대책을 두고 기업들이 일제히 “업계의 상황을 제대로 반영하지 못한 정책”이라고 했다. 일각에선 “정부가 외국계 보안 기업에 큰 장을 열어준 꼴”이라는 비판의 목소리를 내놨다.

정부는 이번 대책에서 현재 의무적으로 정보보호 투자 현황을 공시하는 기업에 ‘세부 조항’을 공개하라는 지침을 내렸다. 단순 투자 금액뿐만 아니라 투자금을 사용한 세부 시스템과 서비스 등을 모두 공개하라는 것이다.

보안이 곧 기업의 명운과 직결된 국내 주요 대기업 그룹 정보기술(IT) 서비스 기업들은 큰 우려를 나타냈다. 기업 내부에서만 공유되던 세부 투자 내용이 민간에 공개되면 보안 취약점이 고스란히 드러날 수 있다는 이유에서다. 한 IT 서비스 기업 관계자는 “세부 조항을 모두 공개하면 투자 금액이 상대적으로 적은 시스템을 해커가 ‘해킹의 기회’로 보고 진입할 수 있다”고 말했다.

반대로 투자 금액이 큰 경우도 부작용이 생길 수 있기는 마찬가지다. 한 클라우드 기업 관계자는 “기업이 투자를 많이 하는 시스템이나 서비스가 노출되면 일종의 도전 의식을 불러일으켜 ‘뚫겠다’는 해커가 충분히 생길 수 있다”고 했다. 통신업계도 이번 지침이 공개되자 난색을 보였다. 잇따른 보안 사고로 ‘화이트 해커’ 등 정보보안 전문가를 모시는 데 어려움을 겪고 있어서다.

당장 내년 상반기부터 2737개 모든 상장사가 정보보호 공시 의무를 수행하는 건 사실상 불가능하다는 게 보안업계 전문가들의 공통된 의견이다. 현재 공시 의무가 부여된 660여 개 상장사도 보안 전담 인력을 구하는 데 어려움을 겪는 상황에서 신규 기업이 공시를 위해 전담 인력을 확충하는 건 어렵다는 것이다.

‘국내 보안업체에 기회가 될 것’이라는 정부 입장을 두고서도 업계는 회의적인 시선을 보냈다. 국내 보안시장에서 토종 기업이 차지하는 비중이 크지 않아서다. 구글, 마이크로소프트, 아마존 등이 시장을 장악한 데다 국내 대기업도 이들과 손잡아 국내 업체가 비집고 들어갈 틈이 거의 없다. 통신업계 고위 관계자는 “국내 보안회사들의 규모가 작은 데다 대형화할 상황이 안 되는 건 사실”이라며 “우수한 인력을 키워도 이들이 처우가 좋고 기회가 많은 글로벌 기업을 택하는 건 당연한 수순”이라고 말했다.

2024년 정보보호 실태조사에 따르면 국내 정보보안 관련 기업은 814곳이다. 이 중 증권시장에 상장된 보안기업은 28곳에 불과하다. 이 중 매출 1000억원을 넘는 기업은 단 10곳이다. 국내 상장사 가운데 최대 정보보안 기업인 안랩 주가는 현재 5만원대(시가총액 6500억여원)로 10년 전과 비교해 별 차이가 없다. 미국 주요 보안 기업 팰로앨토네트웍스 시총(약 211조원), 크라우드스트라이크(190조원) 등과 격차가 크다.

과기정통부가 이동통신사를 비롯한 IT업계, 금융권 등 상장 기업의 반발이 거셀 것을 예상하면서도 이번 대책을 내놓은 배경엔 대통령실의 압박이 있었던 것으로 전해진다. 업계 관계자는 “이재명 정부가 숙원사업 중 하나로 정보보안 대책 강화를 내놓은 것으로 알고 있다”고 했다. 징벌적 과징금, 최고경영자(CEO) 해임 등 ‘초강수’를 급작스럽게 내놓은 것도 이 같은 기조가 바탕이 됐다는 것이다.

최지희/강경주 기자 mymasaki@hankyung.com