[디지털데일리 이나연 기자] 지난해부터 정보보호 공시 의무화가 본격화됐지만, 해외 기업들은 국내 기업과 달리 사실상 반쪽짜리 공시 결과만 내놓고 있다. 전 세계에 법인이 있는 글로벌 기업 특성상 정보보호 투자 역시 글로벌 차원에서 이뤄진다는 이유에서다.

17일 과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면 국내에 지사를 두고 있는 구글·트위터·메타·틱톡 등은 정보보호 공시 대상자지만 ‘정보기술(IT) 투자액’과 ‘정보보호 투자액’, ‘정보보호 인력’ 같은 구체적인 수치를 요구하기 어렵다.

이용자 대상 서비스 제공 및 관리 업무를 글로벌 기업 본사에서 담당할 경우, 국내에 한정해 정보보호 투자액 등을 산정하는 것이 쉽지 않기 때문이다. 현재 글로벌 기업들이 공시하는 정보보호 관련 내용은 소관부처와 글로벌 사업자 간 협의를 통해 정보보호 활동 위주 공시를 유도한 결과라는 것이 KISA 측 설명이다.

정보보호 공시 종합 포털에서 구글·트위터·메타·틱톡 같은 기업을 검색했을 때 대다수는 특기사항 항목을 통해 국내 정보보호 투자액을 별도로 구분 및 작성할 수 없는 배경을 설명하거나, 별첨으로 글로벌 차원 활동 내용을 작성했다.

글로벌 기업 중 정보보호 관련 투자액을 공개한 것은 넷플릭스코리아가 유일하다. KISA는 넷플릭스코리아처럼 글로벌 기업 국내 법인이 국내 이용자 보호 업무 등을 수행하거나, 서비스 제공 주체인 경우에만 국내 기업과 같은 정량적인 정보(투자, 인력 현황 등)를 작성하도록 안내 중이다.

기업 정보보호 현황은 서비스 위험 관리에 있어 중요한 정보다. 특히 구글이 운영하는 유튜브와 메타가 운영하는 페이스북·인스타그램·스레드 같은 주요 사회관계망 서비스(SNS)는 국내를 비롯해 전 세계 이용자 정보가 오가므로 더 각별한 주의가 요구된다.

현실적으로 제한적 내용의 정보보호 공시를 할 수밖에 없다는 이들 기업 역시 국내에서 개인정보보호법에 대해 규제당국 제재를 받은 전례가 있다. 가령 인스타그램은 지난 2016년부터 2019년 3월까지 약 3년 동안 비밀번호 암호화 조치 없이 국내 이용자 8200여명 비밀번호를 평문으로 저장·보관해 과태료 500만원을 부과받았다.

지난해 9월 구글과 메타는 이용자 동의 없이 개인정보(이용자의 타사 행태정보)를 수집해 온라인 맞춤형 광고에 활용했다는 것이 적발되기도 했다. 개인정보보호위원회는 위반행위 시정명령과 함께 구글에 692억원, 메타에는 308억원 과징금 처분을 내린 바 있다.

당시 조사와 처분은 온라인 맞춤형 광고 플랫폼 행태정보 수집·이용과 관련된 첫 번째 제재이자, 개인정보보호 법규 위반으로는 가장 큰 규모 과징금이었다.

심지어 최근 특정 산업을 가리지 않고 사이버 공격이 급증하면서, 지속가능한 경영을 위해 기업이 정보보호 문제에 신경 쓰는 것은 더 이상 선택이 아닌 필수다. 글로벌 컨설팅 기업 맥킨지에 따르면 오는 2025년까지 사이버 공격으로 인한 손실 규모는 지난 2015년 대비 300% 증가한 10조5000억달러(한화 약 1경3366조원)에 이를 것으로 보인다.

최경진 인공지능법학회장(전 개인정보보호법학회장·가천대 법학과 교수)은 “정보보호 공시 의무 자체가 정보보호 관점에서 기업 신뢰성과 책임을 확보하기 위한 취지인 만큼, 정부도 해외 사업자들이 최대한 다양한 정보보호 관련 내용을 작성하도록 유도하는 노력이 필요하다”고 말했다.