[디지털데일리 이종현기자] 국내 주요 기업들의 정보보호 현황이 공개됐다. 정보보호산업법 개정으로 특정 산업군, 증권시장에 상장한 매출액 3000억원 이상, 일일평균 이용자 수가 많은 서비스 등을 제공하는 기업들이 대상이다.

1일 <디지털데일리>의 확인에 따르면 총 630개 기업이 자신의 정보보호 현황을 공시했다. 국내 598개 기업에게 지난 6월 30일까지 정보보호 현황을 공시해야 할 의무가 부여됐는데, 공시 의무 대상자가 아닌 기업들 일부도 정보 공개에 참여한 상태다.

공개된 내용은 2021년 연말 기준 정보기술(IT)과 정보보호에 대한 투자액, 정보보호 전담 인력 수, 정보보호 활동 현황 등이다.

공개된 자료 중 눈길을 끄는 것은 국내 시가총액 1위 기업인 삼성전자다. 삼성전자는 압도적인 IT, 정보보호 부문 투자액을 기록했다. 7조2664억원을 IT 부문에 투자했고, 이중 6939억원은 정보보호 부문에 대한 투자다. 총 직원 10만7496명 중 9662명이 IT 부문 인력이고 이중 5.4%에 달하는 526명이 정보보호 인력으로 확인됐다.

삼성전자의 정보보호 투자액은 자신을 제외한 국내 시가총액 상위 10개 기업의 정보보호 투자 총액보다 훨씬 많다.

▲SK하이닉스 159억원 ▲삼성바이오로직스 48억원 ▲네이버 350억원 ▲현대차 147억원 ▲삼성SDI 59억원 ▲LG화학 159억원 ▲기아 83억원 ▲카카오 140억원 ▲셀트리온 10억원 ▲삼성물산 260억원 등 삼성전자를 잇는 시가총액 상위 10개 기업의 정보보호 투자액은 1415억원이다. 삼성전자는 이들 10개 기업의 합보다 4.9배 이상 많은 금액을 투자했다. LG에너지솔루션은 올해 상장해 공시 의무 대상에 빠졌다.

삼성전자가 투자 규모로 주목받았다면 LG전자는 높은 IT 부문 투자 대비 정보보호 투자를 기록한 것으로 눈길을 끌었다. LG전자는 IT 부문에는 2410억원, 정보보호에는 454억원을 각각 투자했다. IT 투자액 대비 정보보호 투자액은 18.8%인데, 이는 투자 현황을 공개한 주요 기업 중 가장 높은 비율이다.

이처럼 정보보호에 막대한 투자를 진행 중인 삼성전자와 LG전자이나 두 기업은 올해 3월 해킹조직 랩서스(LAPSUS$)에 의해 나란히 해킹되는 굴욕을 겪었다. 큼직한 해킹사고의 당사자가 됨에 따라 체면을 구긴 만큼 올해도 정보보호 투자는 지속할 것으로 예상된다.

이동통신3사 중 정보보호 투자액이 가장 높은 것은 KT다. KT는 작년 1021억원을 정보보호에 투자했는데, 주요 기업 중 삼성전자에 이은 2번째다. IT 투자액 대비 정보보호 투자액은 5.2%다. SK텔레콤과 LG유플러스는 각각 626억원, 291억원을 정보보호에 투자했다. SK브로드밴드의 정보보호 투자액은 233억원이다.

개인정보 유출 등으로 몇차례 홍역을 치른 쿠팡은 정보보호에 534억원을 투입, 이커머스 기업 중에서는 큰 규모를 투자했던 것으로 나타났다. 중고거래 플랫폼 당근마켓의 경우 IT 투자 대비 1.6%인 3.7억원을 정보보호에 투자했다. 투자 규모와 비율 모두 아쉬운 수준이다. IT 부문 인력 155명 중 정보보호 전담 인력은 1명에 불과하다.

이와 관련 당근마켓은 정보보호 현황의 특기사항으로 “클라우드에서 다양한 보안 서비스를 사용하고 있지만 인프라서비스와 보안서비스 및 기능들의 명확한 비용 분리가 어렵다”고 첨언했다.

공공기관, 금융회사는 정보보호 공시 의무 대상에서 제외됐다. 하지만 금융 애플리케이션(앱) ‘토스’를 제공하는 비바리퍼블리카를 비롯해 토스뱅크, 우리은행, 신한금융투자, 카카오페이 등 기업은 정보보호 투자 현황을 공시했다.

이중 투자 규모가 가장 큰 것은 우리은행이다. 정보보호 부문에 405억원을 투자했는데, 이는 IT 투자액 대비 10.9%에 달하는 금액이다. 신한금융투자가 159억원, 비바리퍼블리카 90억원, 카카오페이 34억원, 토스뱅크 20억원 등을 각각 투자했다. 이중 비바리퍼블리카는 IT 투자액 대비 17.3%나 정보보호에 투자했다.

물리·정보보안 기업인 SK쉴더스도 공시 의무 대상이 아님에도 투자 현황을 공시했다. IT 부문에 633억원, 정보보호에 45억원을 투자했다. 물리보안 시장 1위 기업인 에스원은 IT 부문에 484억원, 정보보호 부문에 25억원을 투자했다.

한편 정보보호 공시 의무 대상에는 마이크로소프트(MS), 구글, 오라클, 넷플릭스, 메타(구 페이스북), 트위터, 텐센트, 알리바바 등 국내에 지사를 두고 있는 외국계 기업들도 일부 포함됐다. 다만 이들 기업 대부분은 글로벌 본사 차원에서 통한 관리하고 있기에 한국 지사별 투자액을 공시하지는 않았다.

공시 의무 대상임에도 시일 내 공시를 하지 않은 기업도 있다. 올해 하반기 코스닥 상장을 추진 중인 클라우드 기업 이노그리드와 중국 기업인 텐센트, 알리바바 등이다. 한국인터넷진흥원(KISA)에 따르면 일부 기업은 메일로 투자 현황을 보내 아직 반영되지 않았다. 또 이노그리드의 경우 사전 협의 끝에 제출 기한을 1주가량 연기했다고 전했다.

공시 의무 기업임에도 이를 공개하지 않은 기업에는 1000만원 이하의 과태료가 부과될 전망이다.