대기업 A사의 2022년 정보보호 공시 자료. 왼쪽부터 수정 전·후. 같은 해의 자료지만 IT 투자액은 2배, 정보보호 투자액은 4배 이상 줄어드는 정정이 소리소문 없이 이뤄졌다. 현재 수정 전 자료는 정보보호 공시 종합 포털에서 확인할 수 없다.

[디지털데일리 이종현기자] 기업이 정보보호에 어느 정도의 투자를 하고 있는지 알리는 정보보호 공시 제도는 정보보호 분야 관계자 대다수의 찬사를 받는 제도다. 하지만 이 제도가 송두리째 무너질 위기에 놓였다. 실수라고 보기 어려운 수준의 공시상 수치 오류가 있었고, 변경 사유나 내용은 알리지 않은 채 교체됐다.

문제의 발단은 2022년6월29일 대기업 A사의 정보보호 현황 공시다. 한국인터넷진흥원(KISA)이 운영하는 정보보호 공시 종합 포털에서 확인할 수 있는 해당 기업의 2022년 정보보호 공시에는 정보기술(IT)에 3조2301억원, 정보보호에 1717억원을 투자했다고 기재돼 있다.

이는 최초 발표된 내용과 2배 이상 차이나는 수치다. 최초 공시 당시 A사는 IT에 7조2664억원, 정보보호에 6939억원을 투자했다고 공시했다. IT 투자는 절반 이하로 줄었고, 정보보호 투자는 4분의1 이하가 됐다. 터무니 없는 수치 변화가 이뤄진 상황이다.

<디지털데일리> 취재에 따르면 해당 기업 정보보호 공시 수치 변화는 기입상의 실수 탓이다. A사가 자체적으로 정보보호 공시를 제출했고 과학기술정보통신부(이하 과기정통부)가 이를 사후검증하는 과정에서 수정이 이뤄졌다.

단순 기입 실수라고 하기에는 쉬이 이해할 수 없을 정도의 오차가 발생했다. 2022년 공시를 한 주요 기업 중 심각한 실수가 있은 것은 A사가 유일하다

과기정통부가 발표한 2022년 정보보호 공시 현황 분석보고서 내용. 오기입된 수치를 바탕으로 분석 및 통계표 등이 작성됐다. 이는 모두 신뢰할 수 없는 데이터가 된 상태다.

사태가 심각성을 키우는 것은 해당 자료가 여러 용도로 활용됐다는 데 있다. 2022년 정보보호 공시를 한 기업 648개의 정보보호 투자액 중 34%를 A사가 차지했다. 정보보호 투자 규모 상위 10개 기업 중 2~10위를 합쳐도 1위인 A사에 미치지 못했고 이는 숱한 언론보도의 대상이 됐다.

과기정통부도 해당 자료를 인용해 발표했다. 과기정통부는 A사의 정보보호 투자액 6939억원이라는 자료를 발표하며 “이번 보고서가 정보보호 정책수립의 기초자료로 기업의 정보보호 전략 수립 및 학계의 연구 활동 등 다양한 영역에 활용되길 기대한다”고 전했다.

이처럼 기존 금액을 바탕으로 작성된 언론보도, 기업 전략 및 연구활동 등은 삽시간에 신뢰할 수 없게 됐다. 만약 실제로 해당 자료를 바탕으로 전략을 수립하고 연구 활동을 했다면 모두 폐기해야 하는 상황이다.

2022년은 정보보호 의무공시가 이뤄진 첫해인 만큼 크고작은 기재상 실수가 발생할 수는 있다. 실제 숫자 한 자리를 빼 투자금액을 10분의1로 공시한 기업 사례도 있다. 그러나 문제는 이런 공시상 수치 변화가 알려지지 않은 채 슬그머니 이뤄졌다는 점이다.

기존 6939억원이라는 수치는 언론보도나 과기정통부 발표 자료 등에서 흔적을 찾을 수 있지만 정작 정보호호 공시 종합 포털에서는 확인할 수 없다. A사의 2022년 정보보호 공시 게시글에서는 수치가 수정된 내용만 확인된다. 화면 스크롤을 내린 뒤 우측 하단의 작은 ‘최종 수정일: 2023-06-28’이라는 흔적만이 무언가 변화가 있었음을 유추할 수 있도록 한다.

정보보호 공시 종합 포털에서 확인할 수 있는 2022년 A사 공시. 스크롤을 내려 우측하단에 자그마한 글씨로 적혀있는 최종 수정일 외에는 정정 공시가 이뤄졌음을 알 수 있는 흔적이 전혀 없다. 어떤 사유로, 어떤 수정이 이뤄졌는지도 알리지 않았다.

금융감독원에서 운영하는 전자공시시스템(DART) 등의 경우 수정·보완이 있을 때 정정공시가 이뤄진다. 정정 전 내용은 무엇인지, 어떻게 바뀌었는지, 정정사유는 무엇인지를 설명한다.

정보보호 공시는 이런 정보를 일절 제공하지 않고 있다. 작년 공시 내용을 기억하는 사람이 꼼꼼히 살피지 않으면 정정이 이뤄졌는지를 알 수 없는 구조다. 제도 2년차를 맞이한 정보보호 공시 제도의 허술함이 드러났다는 지적이 나오는 대목이다.

KISA 관계자는 “(의무공시) 제도가 이제야 2년차다 보니 완벽하게 세팅되지 않은 것 같다. 지난 4월 정보보호산업법 개정 공표가 이뤄졌고 오는 10월 시행한다. 이를 바탕으로 검증 방법이나 절차, 신뢰성 확보 등 미비한 부분을 보완하겠다”고 말했다. 개정 정보보호산업법은 기업이 제출한 내용을 사후검증할 때 이에 협력하도록 한다는 내용을 법제화한 것이 골자다.

정보보호 공시는 국민들의 알 권리를 보장해준다는 차원에서 유용한 제도다. 연초 발생한 통신사 개인정보 유출 사태 때 해당 통신사가 경쟁사 대비 정보보호 투자 금액이 낮다는 것도 정보보호 공시를 통해 확인됐다. 제도의 보완 역시 반길 일이다.

하지만 현재 포털에서 최초 제출된 정정 전 공시 내용을 업로드하거나, 정정이 이뤄졌음을 알리는 문구를 알리는 등 최소한의 조치조차 않은 채 법 시행일인 10월까지 기다리라는 것은 납득하기 어렵다. 2022년, 2023년 정보보호 공시 자료에 대한 신뢰가 무너진 상황에서 ‘사후약방문’이라는 비판도 제기된다.

정보보호 공시는 정보보호산업법에 따라 과기정통부의 소관이다. 과기정통부는 제도 시행 이후 줄곧 정보보호 공시의 유용성을 강조해 왔다. 박윤규 과기정통부 제2차관은 지난 3월9일 사이버보안 전문가들과의 토론회에서 정보보호 공시제도를 소개하며 “기업들이 정보보호에 어느 정도 투자하고 있는지 알림으로써 국민들이 ‘이 기업은 믿을 수 있겠구나’ 하는 인식을 가질 수 있도록 제도를 시행했다”고 밝히기도 했다. 하지만 국민들이 제도를 통해 알게 된 것은 ‘기업 공시도, 정부 관리도 못 믿겠구나’라는 씁쓸한 현실이다.