국내 기업들의 정보보호 투자액이 사상 처음으로 2조 4,000억 원을 돌파했다.

정부의 '정보보호 공시 의무화' 정책이 안착하면서 기업들이 보안 지갑을 열기 시작한 것으로 분석된다.

그러나 글로벌 시장의 폭발적인 성장세와 주요 빅테크 기업들의 천문학적인 투자 규모에 비하면, 'K-보안'은 여전히 1% 미만의 변방에 머물고 있어 질적 고도화가 시급하다는 지적이다.

# "공시가 투자 불렀다"…4년 연속 공시 기업 투자 48% 껑충

과학기술정보통신부는 30일 '2025년 정보보호 공시 현황 분석 보고서'를 통해 올해 공시를 이행한 773개 기업의 정보보호 총 투자액이 2조 4,230억 원으로 집계됐다고 밝혔다.

이는 전년(2조 1,196억 원) 대비 14.3% 증가한 수치다. 보안 전담 인력 역시 8,506명으로 전년보다 10.7% 늘어났다.

가장 눈에 띄는 대목은 제도의 '학습 효과'다.

2022년 의무화 이후 4년 연속으로 투자 내역을 공개한 559개 기업의 경우, 투자액 증가율이 무려 48.3%에 달했다.

반면 2년 연속 공시한 기업의 증가율은 13.8%에 그쳐, 꾸준한 관리와 투명한 공개가 실질적인 투자 확대로 이어지는 선순환 구조가 증명됐다.

업종별로는 규제가 강한 금융 및 보험업(평균 85억 원)과 정보통신업(62억 원)이 투자를 주도했다.

다만 해킹 위협이 높은 보건업 및 사회복지 서비스업은 오히려 투자가 뒷걸음질 쳐 보안 사각지대에 대한 우려를 남겼다.

# 한국 전체가 2.4조인데…MS는 연간 5.6조 '물량 공세'

국내 지표는 '청신호'를 켰지만, 글로벌 시장이라는 거울에 비춰보면 격차는 여전히 아득하다.

시장조사기관 가트너(Gartner) 전망에 따르면, 올해 전 세계 정보보호 지출액은 약 2,120억 달러(약 296조 원)에 달한다. 한국 시장 규모(약 2.4조 원)는 전 세계의 0.8% 수준에 불과하다.

개별 기업 간 체급 차이는 더욱 극적이다.

미국 최대 은행인 JP모건 체이스는 지난해 사이버 보안에만 약 6억 달러(약 8,400억 원)를 투자했다.

한국의 공시 대상 기업 773개사가 쓴 전체 금액의 35%에 달하는 돈을 단 한 개의 외국계 은행이 쓰고 있는 셈이다.

마이크로소프트(MS)의 경우 "향후 5년간 200억 달러를 투자하겠다"고 공언해, 연평균 투자액이 약 5조 6,000억 원에 이른다. 이는 대한민국 전체 기업 투자액의 2.3배가 넘는 규모다.

# 美는 '이사회 책임' 명시…韓은 아직 '숫자 채우기'

전문가들은 단순한 금액 차이보다 '투자의 질'을 우려한다.

한국의 정보보호 공시가 투자액과 인력 수 등 정량적 수치 공개에 집중된 반면, 미국 등 선진국은 거버넌스(지배구조) 혁신을 요구하고 있기 때문이다.

미국 증권거래위원회(SEC)는 상장기업들에게 사이버 보안 사고 발생 시 4일 내 공시를 의무화하는 한편, 이사회가 리스크 관리에 어떤 전문성을 가지고 개입하는지를 연례보고서에 기술하도록 했다.

보안을 실무진의 업무가 아닌 '경영진의 생존 과제'로 격상시킨 것이다.

보안업계 한 관계자는 "2조 4000억 원 돌파는 의미 있는 이정표지만, 여전히 많은 국내 기업에서 정보보호최고책임자(CISO)는 예산 확보를 위해 재무팀을 설득해야 하는 '을'의 위치"라며 "미국처럼 이사회가 직접 보안 리스크를 챙기고, AI 등 신기술 도입에 따른 구체적인 방어 전략을 공시하는 방향으로 제도를 고도화해야 한다"고 조언했다.