사이버 공격 © News1 DB

정보보호 공시 자료 제출이 6월30일 마감됐다. 국내 기업과 다르게 주요 외국계 기업은 정보보호 투자 내역을 공란으로 뒀다. 국내 투자 내역만 분리하기 어렵다는 이유지만 공시 점검단 운영과 검증 절차가 필요해 행정비용 낭비가 예상된다.

4일 과학기술정보통신부·한국인터넷진흥원(KISA)에 따르면 구글·AWS(아마존웹서비스)·MS(마이크로소프트) 같은 글로벌 기업은 정보보호 투자현황을 '빈칸'으로 표기했다. 2015년 처음 시행된 정보보호 공시제는 지난해부터 주요 기업을 대상으로 의무화 됐다. 정보보호 투자를 촉진하고자 △정보보호 투자 △전담인력 △관련 활동 등을 공개하도록 한 제도다.

올해 두 번째인 정보보호 공시 의무 대상(655곳)은 △ISP(인터넷 서비스 제공) 사업자 (43곳) △IDC(데이터 센터) 사업자(26곳) △상급 종합병원(33곳) △서비스형 인프라(IaaS) 사업자(11곳) △연 매출 3000억원 이상 상장사(516곳) △지난해 4분기 일평균 사용자(DAU) 100만명 이상 기업(26곳)이다.

대부분의 글로벌 기업들은 지난해에 이어 올해도 국내 정보보호 투자 내역에 구체적인 수치를 표기하지 않았다.AWS·MS·메타·오라클은 △IT 투자액 △정보보호부문 투자액 △정보보호 전담 인력 현황에 수치를 표기하지 않았다. '트위터'를 운영하는 '엑스콥'(X Corp.)과 '틱톡' 역시 마찬가지다.

넷플릭스를 운영하는 '넷플릭스서비시스코리아'의 경우 IT 투자액(20억6477만7929원)과 IT부문 인력(3명)만 발표했다. 정보보호 투자·인력 현황은 '0원·0명'으로 적었다.

글로벌 시장에서 사업을 운영하는 만큼 국내 정보보호 투자액만 따로 산출하는 것은 어렵다는 게 이유다.

AWS는 공시에서 "국내외 관계사가 정보보호 시스템을 공동으로 이용하고 있어 정보보호에 관한 투자 또한 글로벌 차원으로 이뤄지고 있다"고 말했다.

오라클도 "글로벌 차원에서 정보보호체계를 구축 및 운영 중에 있어 한국오라클 유한회사가 국내에 한정된 정보보호 관련 자료를 취합하는 게 어렵다"고 말했다.

대신 이들은 공시 내 '특기사항' 항목에 자사 정보보호 현황을 별도로 서술했다.

AWS는 △정보보호관리체계(ISMS) 인증 △보안 콘퍼런스 'AWS 리인포스'(re:Inforce) 2022 개최 △버그 바운티(보안 취약점 신고 포상제) 'AWS 버그 버스트' 프로그램을 강조했다.

구글은 △구글 클라우드 플랫폼(GCP)의 ISMS 인증 △개인정보 보호 관련 31개 간행물 출판 △제로데이 취약점 전담부서 '프로젝트 제로'를 설명했다.

과학기술정보통신부 관계자는 "아마존 같은 글로벌 기업은 국내 투자 내역만 분리해서 보기 어려워 정보보호인증 등 정보보호 활동을 적도록 했다"며 "앞으로 전문 회계법인·감리법인·KISA와 함께 공시 점검단을 운영해 공시 내용을 분석하고 사실과 다른 내용이 있다면 시정요구할 예정"이라고 말했다.

한편 지난해 정보보호에 가장 많은 투자를 한 기업은 삼성전자(005930)다. 삼성전자는 2434억원을 투자했다. 전년(1717억원)대비 41.7% 늘어났다.매출 대비 투자액은 0.11% 수준이다.


woobi123@news1.kr