[디지털데일리 이종현기자] “아직 한참 멀었다.” 정보보호 공시 의무화 2년 차를 맞아 올해 발표된 기업들의 자료를 전수조사한 뒤 든 감상이다.

정보보호산업법에 따라 매출액 3000억원 이상 상장사, 하루 평균 이용자 100만명 이상 서비스 제공 기업 등에게는 자사의 정보기술(IT) 및 정보보호 관련 투자 규모, 전담 인력 및 활동 내역을 공개할 의무가 주어졌다. 사실상 국내 주요기업 대부분이 해당하는 셈인데, 각 기업들이 IT‧정보보호에 어느 정도의 노력을 기울이는지 한눈에 파악할 수 있었다.

공시에 참여한 713개 기업 중 국내 투자 금액을 공개하지 않은 12개사를 제외한 701개 기업의 IT 투자액은 29조9484억원이다. 그리고 정보보호에는 1조8638억원을 투자했다. 공공과 금융을 뺀 규모다. 정부에서 공개하는 2022년 정보보호 예산 및 금융기업들의 정보보호 예산을 가산하면 국내 정보보호 시장 규모를 어림짐작할 수 있다.

이처럼 정보보호 공시 제도는 그간 깜깜이로 여겨졌던 개별 기업들의 투자 내역을 밝힘으로써 정보보호 업계에게도, 이를 취재하는 기자에게도, 각 기업들의 서비스를 이용하는 국민에게도 유용한 자료로 활용되고 있다.

정보보호에 어느만큼의 금액을 투자하느냐는 기업의 기밀, 또 고객 정보를 지키는 데 어느 만큼의 노력을 기울이는지를 가장 직관적으로 살필 수 있는 지표다.

국내 기업 중 가장 정보보호에 많은 금액을 투자한 기업은 2434억원을 투자한 삼성전자다. 그 다음이 1034억원인 KT이고 3위는 639억원을 투자한 쿠팡이다. SK하이닉스, SK텔레콤, 국민은행, 삼성SDS 등이 뒤를 이었고 그 이후부터는 500억원 미만이다. 17개 기업을 제외하곤 모두 투자금액 200억원 미만이다.

이와 같은 기업들의 정보보호 투자 규모에는 아쉬움이 남는다. 국내에서 가장 많은 금액을 정보보호에 투자하고 있는 삼성전자의 경우 넷플릭스의 그룹 글로벌 정보보호 투자액보다도 낮은 수준이다. 삼성전자는 제조기업이고, 또 그룹이 아닌 별도 기준이라는 점을 고려해야 하겠지만 넷플릭스 대비 매출액이 5배 이상인, 반드시 지켜야 할 핵심기술 다수를 보유한 삼성전자가 넷플릭스 대비 투자가 저조하다는 것이 대중에게 쉬이 받아들여질까.

정보보호 공시 제도 자체도 미흡한 부분이 많이 보였다. 전년도에 공시했던 내역을 조용히 교체한 것이 대표적이다. 2022년 기준 삼성전자 정보보호 투자액은 6939억원에서 1717억원으로, 4분의1 이하로 바뀌었다. 삼일회계법인의 실수로 잘못된 수치가 기재된 것인데, 이를 관리해야 할 과학기술정보통신부(이하 과기정통부)나 한국인터넷진흥원(KISA)이 별도의 정정 공시 없이 내용을 수정하도록 해 단순 실수 이상의 사태로 확산됐다.

그룹사에 그룹웨어나 전사적자원관리(ERP), 보안관제 등 예산 및 인력을 제공하는 경우 올해부터 관련 예산‧인력을 IT 서비스 기업으로 집계하는 ‘쉐어드서비스’ 기준을 적용, 전년대비 큰 폭의 변화가 있었던 점도 정보보호 공시의 통계적 완성도를 떨어트렸다. 2022년에는 기업들이 서로 다른 기준을 적용했고 올해 이를 일관화했는데, 때문에 일부 기업은 전년과 비교하는 것이 무의미해진 상황이다.

이런저런 볼멘소리를 할 수밖에 없는 상황이지만 그럼에도 정보보호 공시 제도 자체의 유용성은 부정할 수 없다. 특히 투자액이나 전담 인력을 밝히면서 보안사고가 난 기업들로서는 변명의 여지조차 없어졌다. 정보보호 공시 이후 기업들은 ‘체면치레’를 위해서라도 정보보호에 대한 투자를 확대하는 중이다. 과기정통부도 정보보호산업법 및 가이드라인 개정 등 지속적인 관심을 보이는 만큼 더 나아진 3년 차를 기대해 본다.