정보보호 투자 의무공개 기업 4곳 중 1곳은 관련 인력 '0명'

(서울=뉴스1) 윤주영 기자 = 최근 3년간 '정보보호 공시 의무대상' 기업 약 25%는 아예 관련 부문 인력을 두고 있지 않은 것으로 확인됐다. 최근 굵직한 침해사고로 인해 국민 불안은 커졌지만, 정부의 정보보호 공시제도는 요식행위에 불과하다는 지적이 나온다.

21일 국회 과학기술정보방송통신위원회 소속 이상휘 국민의힘 의원은 제도를 운영하는 한국인터넷진흥원(KISA)으로부터 받은 자료를 공유했다.

자료는 최근 5년간 정보보호 공시 의무대상인 기업들의 현황을 담고 있다. 정보보호 공시제도는 국민의 안전한 인터넷 이용과 기업 정보보호 투자 활성화를 위해 일정 규모 이상 기업을 대상으로 시행한다.

사업 분야, 매출액, 이용자 수 등 기준 중 하나 이상을 충족한 기업은 정보보호 투자·인력·인증·활동 등을 공시해야 한다.

구체적인 기준으로는 △사업 분야 - 회선설비를 보유한 기간통신사업자(ISP), 집적정보통신시설 사업자(IDC), 상급종합병원, 클라우드컴퓨팅 서비스 제공자 △매출액 - 정보보호 최고책임자(CISO) 지정·신고 상장법인 중 매출액 3000억 원 이상 △이용자 수 - 정보통신서비스 일일 평균 이용자 수 100만명 이상 등이 있다.

종합하면 국민 생활과 밀접한 서비스를 하거나, 침해사고 발생 시 이용자 여파가 큰 기업이 의무를 진다고 할 수 있다.

하지만 최근 3년간 정보보호 공시 의무기업 중 관련 인력을 두지 않은 기업 비율은 25%대를 유지하고 있다.

올해도 의무대상 666개 기업 중 23.7%인 158개 기업이 관련 인력을 두지 않았다. 정보보호최고책임자(CISO)를 지정조차 하지 않은 기업도 26곳으로 확인됐다.

특히 해외에 본사를 두고 있는 글로벌 기업 구글·메타·오라클 등은 정보보호 국내 전담인력과 투자액을 아예 표기하지 않았다. 글로벌 단위로 사업을 운영하는 만큼, 국내 정보·보호 투자 내역을 따로 산출하기 힘들다는 게 그들의 해명이다.

이상휘 의원은 "국민에게 기업의 보안 수준을 투명하게 공개하도록 유도, 기업 간 자율 경쟁을 유도한다는 게 제도의 취지였다"며 "그런데 지금은 기업들이 형식적 보고서만 내고 끝나 공시 이후의 관리가 허술하다"고 꼬집었다.

이어 "일부 기업들은 CISO의 연봉이 높아 채용 대신 연 1000만 원의 과태료를 납부한다. 도덕적 해이다"라며 "해킹과 개인정보 유출 사태에도 많은 기업이 보안 투자에 인색하다"고 비판했다.

보완 대책과 후속 조치 등 정보보호 공시 제도의 실효성을 높이는 개선이 필요하다고 이 의원은 주문했다.

legomaster@news1.kr