[디지털데일리 이종현기자] 기업들의 정보보호 투자 규모 및 활동 내역이 공개됨에 따라 누가 더 기업 및 고객정보 보호에 많은 노력을 기울이는지 여실히 드러났다.

지난 30일을 마감으로 631개 기업이 2021년 정보보호 현황을 공개했다. 정보보호산업법 개정에 따른 조치로 ▲매출 3000억원 이상 상장사 ▲일평균 100만명 이상 서비스 제공자 ▲특정 산업군(ISP·IDC·CSP·상급종합병원) 등 598개 기업에게 공시 의무가 부과됐는데, 공시 의무가 없는 기업들도 일부 정보 공개에 참여한 상태다.

공개된 정보는 기업들의 정보기술(IT) 분야에 대한 투자액과 그중 정보보호 영역에 대한 투자액, 전담인력 등이다. 각 기업들이 정보보호에 얼마나 투자를 하는지 드러남에 따라 투자를 잘 하는 기업, 그렇지 않은 기업을 확인할 수 있게 됐다. 투자 내역은 자회사를 뺀 개별 기업 기준이다.

◆정보보호 투자 잘한 기업, 안한 기업들 드러났다

공개 기업 중 정보보호에 가장 많은 투자를 한 것은 삼성전자다. 7조2664억원을 IT 부문에 투자했고 정보보호에는 6939억원을 사용했다. SK하이닉스가 투자한 526억원 대비 13배 이상이다. 두 기업의 작년 매출액 규모는 6.5배가량으로, 삼성전자가 매출규모 대비 정보보호에 대한 투자액이 2배 수준이다. LG전자는 정보보호에 454억원 투자했다.

공공기관, 금융회사는 정보보호 공시 의무 대상에서 제외됐다. 하지만 금융 애플리케이션(앱) ‘토스’를 제공하는 비바리퍼블리카, 토스뱅크를 비롯해 우리은행, 신한금융투자, 카카오페이 등 기업은 정보보호 투자 현황을 공시했다.

투자 규모는 우리은행이 405억원을 투입하며 가장 컸다. 다만 매출 대비 정보보호에 대한 투자를 많이 한 것은 토스 측이다. 두 기업의 매출 규모가 12배 이상 차이나는 데 반해 투자액은 그렇게까지 차이나지 않기 때문이다. 다만 1금융권의 경우 수십년간 꾸준히 정보보호에 투자를 해왔기 때문에 한해 만의 투자 규모로 그 수준을 판단하기는 조심스럽다.

이커머스 분야에서는 쿠팡의 투자액이 가장 높았다. 쿠팡은 작년 534억원을 정보보호에 사용했는데, 정보유출 등으로 홍역을 치렀던 만큼 투자 규모를 늘린 것으로 풀이된다. 정보보호 전담 인력은 170여명을 두고 있다. 반면 중고거래 플랫폼 기업 당근마켓은 정보보호에 3.7억원만을 투자한 것으로 확인됐다. 보안 전담인력도 1명뿐인데, 한창 커지는 기업인 만큼 선제적인 정보보호 투자 노력이 필요할 것으로 보인다.

네이버는 카카오 대비 2배가 넘는 350억원을 정보보호에 투자했다. 카카오는 140억원이다. 두 기업의 클라우드 계열사인 네이버클라우드와 카카오엔터프라이즈도 큰 차이를 보였다. 네이버클라우드는 280억원 카카오엔터프라이즈는 37억원을 정보보호에 투자했다. NHN은 정보보호에 76억원을 사용했다.

네이버클라우드가 총 임직원 798명인데 반해 카카오엔터프라이즈는 1078명이라는 점도 눈길을 끌었다. 이중 정보보호 전담 인력은 네이버클라우드가 69명, 카카오엔터프라이즈는 39명이다. 내년에는 클라우드 부문을 별개 회사로 독립한 KT클라우드, NHN클라우드까지 함께 살필 수 있을 전망이다.

◆ESG 외치는 기업들, 정보보호에는?

단순히 정보보호에 대한 투자액 규모로 판단할 문제는 아니다. 가장 많은 규모로 투자한 삼성전자는 지난 3월 LG전자와 함께 해킹조직 랩서스(LAPSUS$)에 의해 데이터 유출 사고를 경험했다. 현대사회에 100% 안전이란 존재하지 않는다고 해도 과언이 아니다.

그럼에도 이번 정보보호 현황 공개가 가지는 의미는, 각 기업이 얼마나 정보보호에 노력을 기울이고 있는지 나타내는 지표로 활용될 수 있다는 점이다. 각 기업의 매출 규모와 정보보호 투자액, 사고유무 등을 고려하면 ‘노력했지만 어쩔 수 없다’, ‘노력하지 않았다’와 같은 판단을 할 수 있다. 투자도 적었다고 보안사고를 겪을 경우 비판을 피하기 어렵다.

또 기업들의 브랜드 이미지 제고 및 신뢰성 확보 차원에서도 정보보호 투자는 중요하다. 대부분의 기업들이 고객정보를 요구·활용하고 있는데, 정보를 안전하게 다루지 못할 기업의 제품이나 서비스를 이용하는 이들은 드물 수밖에 없다. 기업의 보안사고로 해당 기업의 고객이나 파트너사가 피해를 입었다는 소식은 드문 일이 아니다.

비교적 투자가 미흡했던 기업들은 정보보호 투자 안 하는 기업이라는 낙인을 피하기 위해, 투자를 많이 했던 기업들은 경쟁 우위를 유지하기 위해 등 제각기의 이유로 각 기업들의 정보보호 투자는 확대될 것으로 예상된다. ‘정보보호에 투자를 많이 하는 기업’이라는 것은 그 자체가 브랜드 홍보 요소다.

최근 기업들이 ESG(환경·사회·지배구조) 경영을 강조하고 있다는 점도 이번 정보보호 현황 공개와 맞물릴 것으로 보인다. 기업 투명성 측면에서, 또 고객 및 자사 산업 생태계 보호 측면의 노력의 지표로도 볼 수 있기 때문이다. 의무 공시 기업이 아님에도 정보보호 현황을 공개한 토스와 신한금융투자, 카카오페이, 우리은행, SK쉴더스, SSG닷컴, 야놀자, 위대한상상(요기요) 등 기업은 공개하지 않은 경쟁사 대비 ‘보다 투명한 기업’이라고 평가할 수 있다.

정보보호 기업에게는 기회다. 윤석열 대통령이 국정과제로 사이버보안을 제시, 한-미 정상회담에서도 수차례 강조함에 따라 정부의 정보보호업계 육성 의지는 그 어느 때보다 강하다. 지난 2년여간의 코로나19 팬데믹부터 이어진 산업계 황금기가 이어질 것으로 전망된다.