첫 정보보호 공시 결과보니…삼성은 7000억 투자, 구글·메타는 '0원' 왜

올해부터 정보보호 공시제도가 의무화된 가운데, 삼성전자 (79,900원 ▲1,000 +1.27%)와 네이버(NAVER (180,200원 ▲600 +0.33%)), 카카오 (49,550원 ▲2,650 +5.65%) 등 국내 주요 기업 600여개사 정보보호 투자액과 인력 규모가 처음으로 공개됐다. 삼성전자가 총 7000억원으로 최대 투자기업으로 나타났으며 토스와 쿠팡 등 IT(정보기술) 기업일수록 투자규모가 컸다. 다만 기업 상황에 따라 투자 편차가 크고 일부 대기업은 이사급 정보보호최고책임자(CISO)를 따로 두지 않는 등 제도 이행 상황은 제각각이었다. 향후 제도 실효성을 높이기 위한 정부차원의 독려가 필요하다는 지적이다.


4일 과학기술정보통신부, 한국인터넷진흥원(KISA) 등에 따르면 이날 기준 총 631개 기업이 '정보보호 공시 종합포털'에 지난해 기준 자사 정보보호 투자현황을 공개했다. 관련 법에 따라 공시 의무가 있는 기업은 △기간통신사업자 △상급종합병원 △클라우드 컴퓨팅 서비스 제공 사업자 △데이터센터 사업자 △전년도 매출액 3000억원 이상 기업 464곳 △일평균 이용자수 100만명 이상 중 하나에 해당하는 총 598곳이다. 의무 대상기업이 공시하지 않을 경우 최대 1000만원 과태료 처분을 받는다. 현재 과기정통부와 KISA는 공시검증단을 구성, 공시 내용을 검토 중이다.

/그래픽=최헌정 디자인기자

공시에 따르면 삼성전자의 정보보호 부문 투자액은 약 6939억원, 전담인력은 526명으로 국내 최대 규모다. 또 삼성전자의 IT부문 전체 투자액 중 정보보호 부문이 차지하는 비중은 9.55%다. LG전자 (92,600원 ▲1,600 +1.76%)는 약 454억원으로 삼성전자보다 투자액 자체는 적지만 비율(18.9%)로는 삼성전자보다 높았다. LG전자의 전담인력은 121명이다. 네이버의 경우, 정보보호 투자액은 약 350억원, 비중은 3.79%였으며 전담인력은 107명이다. 카카오의 정보보호 투자액은 약 140억원으로 네이버보다 적었지만 비중은 3.91%로 비슷했다. 전담인력은 60명이다.

공시의무가 없는 일부 금융기업들도 정보를 공개했다. 금융사 중에는 우리은행(405억원, 11%)이 가장 많은 액수를 투자했으나, 투자 비율로는 토스를 운영하는 비바리퍼블리카(90억4300만원, 17.31%)가 많았다. 이커머스 분야에선 쿠팡(534억원, 7.13%)의 투자규모가 두드러졌다.
CISO 겸직의무 위반·미공시 기업도 수두룩…"실효성 높여갈 것"

/사진제공=게티이미지뱅크

정보보호 공시제는 2015년 마련됐다. 그간 자율에 맡기다보니 실효성이 떨어지고 주요 민간 기업 데이터를 노린 사이버 공격이 기승을 부리는 만큼, 기업의 정보보호 역량을 강화하기 위해 올해부터 공시를 의무화했다.

하지만 제도 개편 첫 해인만큼 혼란도 잇따른다. 실제로 공시 의무대상 상급종합병원 33곳 중 5곳이 공시 자체를 하지 않았다. 해외 기업들은 국내 기업과 다른 방식으로 공시해 혼란을 가중한다. 일례로 메타(구 페이스북)와 AWS(아마존웹서비스), 구글의 경우 국내 투자액, 전담인력 모두 0으로 기재돼있다. 넷플릭스를 운영하는 '넷플릭스서비시스코리아'의 경우, 투자액은 3억3899만원, 전담인력은 3명이었다. 글로벌 기업 특성 상 전체 예산에서 한국 정보보호 예산만 별도 구분할 수 없고, 한국에선 마케팅 등 인력만 운영하기 때문이다. 대신 이들은 공시 내 '특기사항' 항목에 자사 정보보호 시스템과 운영현황을 별도 서술했다.


과기정통부 관계자는 " 향후 (CISO 겸직여부나 공시누락 등) 각 기업 공시 미비점을 면밀히 검토하고 행정지도 등 조치를 취하는 한편 우수 공시기업에는 장관상을 주는 등 독려할 방침"이라고 말했다.

KISA 관계자는 "현행 법에 따라 CISO가 CPO(최고개인정보보호책임자)직은 겸할 수 있고, 이 경우 CISO가 겸직 중이라고 체크돼있을 수 있다"며 "공시만으로는 겸직제한 의무 위반여부를 정확히 확인할 순 없다"고 답했다