올해부터 일정 요건을 갖춘 기업은 정보보호 현황을 의무적으로 공시하게 되면서 국내에서 사업을 펼치는 주요 기업들의 정보보호 투자 및 인력, 인증 현황이 공개됐다.
삼성전자는 지난해 정보보호 부문 투자에 약 7천억원을 썼다고 공시해, 국내에서 사업을 하는 주요 기업 중 압도적으로 많은 투자를 집행한 것으로 나타났다. KT가 1천억원 이상을 쓰면서 다음으로 많았고, SK텔레콤, 쿠팡, 엘지전자, 네이버 등이 300억원~600억원 사이 투자를 집행하면서 그 뒤를 이었다.
1일 정보보호 공시 포털에 따르면 공시 마감 기한인 지난달 30일까지 총 630개 기업이 정보보호 공시를 이행했다.
정부는 정보보호 투자 활성화 및 이용자 보호를 목표로 지난해 12월 정보보호산업법을 개정해 일정 요건을 갖춘 기업은 연 1회(6월 말) 의무적으로 정보보호 현황을 공시하도록 했다. 요건에 해당하지 않는 기업도 자율 공시할 수 있다.
의무 대상에 해당하는 사업자는 ▲회선설비 보유 기간통신사업자 ▲집적정보통신시설 사업자(IDC) ▲상급종합병원 ▲클라우드컴퓨팅 서비스제공자 ▲정보보호 최고책임자 지정·신고 상장법인 중 매출액 3천억원 이상인 곳 ▲일일평균 이용자 수 100만명 이상인 곳(전년도 말 직전 3개월간 기준) 등이다. 즉, 국내에서 사업을 펼치는 주요 기업 대부분은 공시 의무 대상 사업자에 포함된다.
본지가 정보보호 공시 포털을 통해 공시를 이행한 주요 기업의 정보를 종합한 결과 삼성전자, KT, SK텔레콤, 쿠팡, LG전자, 네이버, LG유플러스 등의 순으로 지난해 정보보호 부문에 집중 투자한 것을 확인했다.
삼성전자는 6천939억원을 써서 압도적으로 큰 투자 규모를 자랑했다. 전체 IT기술부문 투자액에서 정보보호 부문 투자 비율은 9.55%였고, 정보보호전담 인력은 526명으로 전체 IT인력 중 5.45% 수준이었다.
그 다음으로는 KT는 1021억원을 정보보호에 투입해, 두 번째로 투자 규모가 컸다. IT기술 투자액 대비 정보보호 투자액 비율은 5.2%였고, 정보보호 전담인력은 전체 IT인력 중 6.6%인 335명을 확보하고 있는 것으로 나타났다.
산업별로 보면 통신사들이 상위권에 포진했다. SK텔레콤과 LG유플러스도 각각 626억, 291억원을 정보보호 부문에 투자했다. 투자액 비율은 SK텔레콤이 3.7%, LG유플러스가 3.9%로 비슷했다. 전담인력 수는 각각 196 명(7.8%), 91 명(3.9%)였다.
이커머스 기업중엔 쿠팡이 534억원으로 가장 많은 투자를 집행해 눈에 띄었다. 쿠팡의 정보보호 투자액 비율은 7.13%, 정보보호전담인력은 170명(7.41%)였다. 11번가, 위메프, 티몬은 각각 55억원, 30억원, 17억원을 투자했다.
인터넷 플랫폼 맞수인 네이버와 카카오의 정보보호 투자 현황을 보면, 네이버가 350억원(3.79%)으로 카카오의 140억원(3.91%) 보다 더 많이 투자한 것으로 나타났다. 두 업체의 클라우드 사업 계열사의 정보보호 투자 내역도 공개됐는데, 역시 네이버클라우드가 280억원(4.93%)을 투자해 카카오엔터프라이즈의 37억(4.45%) 보다 많았다.
게임사 중에는 엔씨소프트가 162억원으로 가장 많이 투자했다. 이어 넥슨코리아는 135억원, 넷마블 73억원, 크래프톤 40억원 순으로 나타났다.
IT서비스 업체 증엔 LG CNS가 157억원으로 가장 투자 규모가 컸고, 삼성SDS 144억원, SK 135억원, CJ올리브네트웍스 75억원, 롯데정보통신 50억원 순이었다.
가상자산(암호화폐) 사업자와 핀테크 기업들의 투자 내역도 공개됐다. 업비트 운영사 두나무는 56억원(4.53%)을 투자했고, 카카오페이가 34억원, 토스뱅크가 20억원을 투자했다. 이외에 아이콘루프(12억원), 후오비(7억원), 고팍스 운영사 스트리미 (4억원)도 공시했다. 두나무를 제외하면 모두 공시 의무가 없는 기업들인데 자율 공시로 정보를 공개한 경우다.
해외 본사를 둔 외국계 기업들도 공시에 참여했지만 대부분 구체적인 수치를 공개하진 않았다. 유일하게 넷플릭스만 지난해 3억원(12%)을 투자했다고 밝혔고, 한국오라클, AWS코리아, 한국마이크로소프트, 한국IBM, 구글, 메타는 글로벌 본사 차원의 정보보호 인증 획득 상황과 관련 정책 등을 서술하는 방식으로 대체했다.
알리바바, 텐센트, 이베이코리아, 트위터 등은 공시 의무 대상이지만 마감 기한까지 공시를 제출하지 않았다.
정보보호산업법에 따라 의무 기업이 공시를 하지 않는 경우 1차 위반 시 300만원, 2차 위반 시 600만원, 3차 이상 위반 시 1천만원의 과태료를 부과받게 된다.
관련기사
- 공공기관 40%는 정보보호 전담부서 없다2022.06.21
- 정보보호공시 의무 603개 기업 확정... 6월 말까지 이행해야2022.04.14
- 삼성·네이버·카카오·쿠팡·두나무, 보안 투자 잘하고 있나?2022.03.12
- SK쉴더스, 정보보호공시 의무화 대비 종합 컨설팅 시행2022.02.23
외국계 기업의 공시 방식에 대해 정은수 과학기술정보통신부 정보보호산업 과장은 "해외 기업의 경우 현실적으로 국내의 정보보호 투자 현황만 잘라서 공개하기기 어려운 경우가 많다"며 "이런 여건을 고려해 정보보호 투자 방향, 사례 등 공개 가능한 정보를 공개하는 방식도 가능하게 해 공시에 참여하도록 유도했다"고 설명했다.
과기정통부는 이번에 접수된 정보보호 공시 정보에 대해 검증하는 과정을 거친 후 보고서로 발간할 계획이다. 정은수 과장은 "이번에 받은 데이터는 샘플링을 통해 잘 못 공시된 정보는 없는지 검토하고, 발견될 경우 수정공시 요청을 할 계획이다"고 했다. 또 "또 몇 개월 내 600여개 정보보호 공시 내용을 분석해 산업군별로 각 산업에서 어떤 기업이 투자를 잘 하고있고 산업 평균적으로 얼마나 투자가 이뤄졌는지 등을 분석해 보고서를 낼 것이다"고 했다.