보안

[취재수첩] 정보보호 투자, 공시만 하면 끝이 아니다

김보민 기자

해킹 이미지 [ⓒ픽사베이]

[디지털데일리 김보민기자] 국내 주요 기업들의 정보보호 공시 시즌이 막을 내렸다.

삼성·SK·현대·LG 등 국내 4대그룹 계열사를 비롯해 전 산업에 걸친 대표 기업들은 지난해 정보보호 활동과 투자 규모를 공개하는 데 여념이 없었다. 국내 정보기술(IT) 분야에서 활약 중인 클라우드, 소프트웨어 기업도 마찬가지였다. 정보보호 공시라는 취지에 걸맞게 안랩과 에스원 등 일부 보안 기업도 행렬에 동참하는 모습을 보였다.

의무공시 시행 3년 차를 맞아 정보보호 공시 제도가 활기를 띠는 모습이다. 정보보호산업법에 따르면 매출액 3000억원 이상 상장사, 일일 평균 이용자 100만명 이상 서비스 제공사는 자사 IT 및 정보보호 투자 규모를 공개해야 한다. 공공 및 금융은 의무 공시 대상에서 제외되는데, 이번에는 한국수목원정원관리원이 공공기관 중 처음으로 공시에 자율적으로 합류하기도 했다. 민간을 시작으로 공공에서도 정보보호 투자 공개에 대한 중요성이 두드러지는 모습이다.

한국은 북한발 사이버 위협에서 자유로울 수 없는 국가다. 국가정보원(이하 국정원)에 따르면 지난 한 해 국내 공공기관을 대상으로 일평균 162만건 정도 사이버 공격이 들어왔고, 이 가운데 80%는 북한발 해킹으로 분류됐다. 민간을 겨냥한 공격까지 포함하면 그 규모는 더욱 컸을 것으로 추정된다. 기업들이 정보보호 투자에 열을 올리고, 공시 제도를 통해 그 규모를 파악하는 것은 사이버 방패를 강화하는 데 이제 빼놓을 수 없는 과정이 됐다.

특히 정보보호 투자액이 누구나 볼 수 있는 숫자로 기록된다는 점은, 특정 기업이 고객을 보호하기 위해 어느 만큼의 노력을 기울이고 있는지 직관적으로 볼 수 있는 지표가 될 수 있다. 내부 기밀 유출, 고객 개인정보 탈취 등을 겪은 기업이라면 정보보호 공시를 통해 체면치레를 할 수 있는 것이 아니냐는 우스갯소리도 나온다.

다만 일각에서는 정보보호 공시제의 실효성을 이야기할 때라는 목소리도 나온다. 단순히 기업이 어느 만큼 정보보호 투자를 했는지 파악하는 것을 넘어, 그 '다음'을 논할 때라는 의미다. 특히 북한은 물론, 전 세계에서 활약 중인 사이버 공격자들의 위협 난도가 높아지고 있다는 점을 고려했을 때 이번 공시 제도의 지속 가능성을 이야기해야 한다는 의견에도 힘이 실리는 분위기다.

현행 정보보호 공시 제도가 투자 현황을 공개하는 수준에 그친다면, 앞으로는 공시 내용의 적정성과 기업들의 투자 방향성을 분석하는 추가 작업이 이뤄져야 할 것으로 보인다. 최근 국내에서 발생하고 있는 사이버 위협 흐름에 걸맞게 기업들이 투자를 진행하고 있는지, 유출 사고가 발생한 기업이라면 그에 걸맞은 조치를 취했는지 등이 종합적으로 평가돼야 한다는 의미다. 정부 입장에서는 기업들의 정보보호 투자가 주요 사이버 위협 흐름과 궤를 같이 할 수 있도록 관련 정책을 만드는 일을 수반해야 할 필요도 있다.

사이버 공격에는 "한 번 뚫리면 끝"이라는 말이 있다. 정보보호 공시 제도 또한 이러한 취지에서 추진된 만큼, 기업들이 공개한 투자액이 사이버 방패를 강화하기 위한 주요 재료로 쓰일 방안이 필요하다. '이용자의 안전한 인터넷 사용, 그리고 정보보호 투자 활성화'를 이뤄내겠다던 정부의 포부가 한 단계 고도화되기를 바라본다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널