[디지털데일리 이종현기자] 기업들의 2022년 정보기술(IT) 및 정보보호 투자 규모 및 관련 인력, 활동내역 등이 공개됐다. 매출액 3000억원 이상 상장사 등 요건에 따라 대기업집단의 주요 기업들의 공시도 이뤄진 가운데 어느 그룹이 IT·정보보호 투자에 많은 관심을 보였는지도 일목요연하게 파악할 수 있게 됐다.

17일 <디지털데일리>는 한국인터넷진흥원(KISA)의 2023년 정보보호 공시 현황을 전수조사했다. 의무공시 기업 651개사와 자율공시 기업 62개사, 총 713개사가 공개한 2022년 정보기술(IT) 및 정보보호 투자 현황을 살폈다.

정보보호 공시는 정보보호산업법에 따라 일정 요건을 충족하는 기업에게 의무가 주어진다. 기간통신사업자, 집적정보통신시설 사업자, 상급종합병원, 클라우드서비스 제공자, 매출 3000억원 이상 상장사, 하루 평균 서비스 이용자 수 100만명 이상 등이다. 의무공시 제도는 2022년부터 시행됐다.

삼성그룹은 삼성전자, 삼성물산, 삼성SDI, 삼성SDS, 삼성엔지니어링, 삼성전기, 삼성중공업, 삼성바이오로직스, 에스원, 제일기획, 호텔신라 등 11개사가 2023년 공시에 참여했다. 그룹사 IT·정보보호 투자 총액은 6대그룹(삼성·현대자동차·SK·LG·포스코·롯데) 중 가장 높았다.

삼성 11개 그룹사의 합계 매출액은 291조924억원이다. IT에 5조6740억원, 정보보호에 3498억원을 투자했다. 매출대비 IT·정보보호 투자비율은 1.95%, 0.12%다. 총 직원 17만9215명 중 IT 인력은 1만5893명, 정보보호 인력은 1038명으로 전체 직원 중 IT·정보보호 인력 비율은 8.8%, 0.5%다.

◆국내 1위긴 하지만… 매출 5분의1 이하인 넷플릭스보다 정보보호 투자 낮아

그룹사 중 가장 눈에 띄는 투자를 한 것은 삼성전자다. 삼성전자는 IT에 4조3841억원, 정보보호에 2434억원을 각각 투자했다. 이는 공시에 참여한 기업 중 최고 수준으로, 단일 기업 중에서는 1위다. 삼성그룹사 전체 IT·정보보호인력 중 81.8%, 87%가 삼성전자에 집중되기도 했다.

삼성전자는 작년 해커조직 랩서스(LAPSUS$)에 의해 내부 자료가 유출되는 사고를 겪은 바 있다. 랩서스는 2022년3월5일 훔쳐낸 정보를 텔레그램을 통해 190기가바이트(GB) 상당의 파일을 무료로 배포했는데, 여기에는 삼성전자 스마트폰의 사용자 인터페이스(UI)인 원UI 4.0이나 갤럭시 S22 관련 소스코드로 의심되는 내용 등이 대거 포함됐다.

이처럼 보안사고가 발생한 뒤인 2022년6월 삼성전자가 IT·정보보호 현황을 공시할 때만 하더라도 삼성전자에서 발생한 보안사고는 ‘어쩔 수 없는 일’ 아니었냐는 옹호론이 우세했다. 삼성전자가 전년도 공시 당시 IT에 7조2664억원, 정보보호에 6939억원을 투자했다고 밝혔기 때문이다. 당시 삼성전자의 정보보호 투자규모는 한국 648개 기업 총합의 34%에 해당하는 수치였다. IT·정보보호 투자에도 ‘초격차’를 유지 중이라는 호평이 이어졌다.

하지만 삼성전자는 전년도 공시에 오류가 있었다며 2022년 투자규모를 대폭 수정했다. 바뀐 수치는 IT 3조2301억원, 정보보호 1717억원으로 IT는 절반 이하, 정보보호는 4분의1 이하로 줄었다. 삼성전자가 의뢰를 맡긴 삼일회계법인이 감가상각비 등을 적용하지 않는 실수를 했기 때문이다. 삼성전자가 의도한 바는 아니나 천문학적인 수치 변화에 혼란을 겪기도 했다.

올해 삼성전자의 정보보호 투자액은 넷플릭스가 공개한 넷플릭스그룹의 글로벌 정보보호 투자액인 2741억원에 못미친다. 스트리밍 서비스를 제공하는 넷플릭스 특성상 제조기업인 삼성전자보다 많은 금액을 투자하는 것이 당연시될 수 있으나 2022년 매출액 40조원, 삼성전자 5분의1 이하인 넷플릭스가 삼성전자보다 많은 금액을 투자하고 있다는 사실은 의외인 부분이다.

◆SK·LG보다 상대적으로 투자 부족… ‘평균’보단 높다?

삼성그룹의 IT 서비스 계열사인 삼성SDS의 경우 전년도에 비해 IT·정보보호 투자가 큰 폭으로 변하는 일도 생겼다. 삼성SDS의 IT 투자액은 1873억원에서 4676억원으로, 정보보호 투자액은 144억원에서 529억원으로 급상승했다. 단순히 투자를 확대했다고 보기는 이해하기 어려운 변동인데, 2023년2월 정보보호 공시 가이드라인이 변경된 탓이다.

삼성SDS와 KISA는 그룹사에서 공통으로 사용하는 시스템이나 보안관제 서비스 등 ‘쉐어드 서비스’를 제공하는 IT 서비스 기업의 경우, 서비스 제공에 필요한 자산이나 인력을 제공 기업으로 산입하도록 해 큰 폭의 변화가 있었다고 전했다. 그러나 주요 경쟁사의 경우 전년도에도 쉐어드 서비스를 적용한 탓에 유독 삼성SDS만 큰 변화가 있었던 것처럼 비춰졌다.

삼성물산의 경우 IT에 1529억원, 정보보호에 127억원을 투자하며 건설업계에서 가장 많은 금액을 투자한 기업으로 꼽혔다. 매출대비 IT 투자액은 0.579%, 정보보호 0.048%다. 삼성물산, 현대건설, 대우건설, GS건설, DL이앤씨, HDC현대산업개발 등 6개사의 평균 매출대비 투자액인 IT 0.474%, 정보보호 0.033%는 웃돌았다.

호텔신라는 IT에 542억원, 정보보호에 29억원을 투자했는데, 매출대비 IT 투자비율은 호텔롯대와 같은 1.27%로 확인됐다. 반면 매출대비 정보보호 투자비율은 0.07%로 0.11%인 호텔롯대대비 0.4%포인트(p) 낮았다.

6대 그룹의 평균 매출대비 IT·정보보호 투자비율이 1.53%, 0.09%인 점을 감안하면 1.95%, 0.12%인 삼성의 투자 규모가 부족하다고 말하기는 어렵다. 다만 SK의 매출대비 IT·정보보호 투자비율이 2.32%, 0.13%, LG는 2.02%, 0.13%로 모두 삼성보다 높았다.

평균 역시도 현대자동차그룹과 포스코그룹이 큰 폭으로 낮춘 탓에 ‘평균보다 높다’는 점을 강점으로 내세우기도 어렵다. 현대자동차그룹과 포스코그룹의 매출대비 IT·정보보호 투자비율은 현대자동차 0.52%, 0.03%, 포스코 0.47%, 0.04%다.

산업간 특징 등이 있는 만큼 정보보호 공시를 두고 단순히 그룹사간 순위를 나열하는 것은 정확한 비교라 보기는 어렵다. 그럼에도 각 기업이 스스로 1년간의 IT·정보보호 투자 규모 및 인력 등을 밝히는 정보보호 공시는 국내 기업들의 IT·정보보호 노력을 살필 수 있는 가장 객관화된 지표다.

제조기업이라고 해서 IT·정보보호 투자를 도외시할 수는 없다. 삼성전자는 이미 랩서스에게 해킹당해 대규모 정보유출을 겪은 바 있다. 국내 기업 중 기술 유출이 ‘공든 탑’을 한순간에 무너뜨릴 수 있다는 사실을 가장 잘 아는 기업은 삼성이다. ‘초격차’를 위한 보다 적극적인 노력이 필요할 것으로 보인다.