국내 정보보호 공시 의무화 도입이 4년차에 접어들었지만 구글·메타·한국 마이크로소프트(MS) 등 해외 빅테크 기업들이 이를 무시하고 있다. 이재명 정부가 사이버보안 주요 정책으로 '정보보호공시 강화'를 내놓은 만큼 외국계 기업들이 구체적인 정보보호 현황을 공개하도록 특단의 조치를 취해야 한다는 지적이 나온다.
9일 정보보호 공시 종합 포털에 따르면, 구글·메타·한국MS를 비롯해 아마존웹서비스(AWS)·IBM·오라클 등 국내 공시 의무 기업에 포함된 해외 정보기술(ICT) 업체 대부분은 구체적인 정보기술 및 정보보호 부문 투자액과 정보보호 인력 현황을 공개하지 않고 있다. 한국 지역만 별도로 계산하기 어렵다는 이유에서다.
2015년부터 시행한 '정보보호 공시 제도'는 정보보호 투자, 인력, 활동 등 기업의 정보보호 현황에 관한 정보를 공개하는 제도다. 그간 기업 자율 공시로 운영됐지만, 자발적 참여율이 저조하자 지난 2022년 일정 기준 이상의 기업에 한해 의무화가 도입됐다. 그 결과 공시 기업 수는 64개(2021년)에서 658개(2022년)로 대폭 확대됐다.
대상 기업은 기간통신사업자(ISP), 인터넷데이터센터(IDC), 상급종합병원, 서비스형인프라(IaaS) 등 사업자와 전년도 매출액 3000억원 이상 기업, 일평균 이용자 수 100만명 이상인 업체 등이 포함된다. 삼성전자, 현대자동차, 이동통신 3사, 네이버, 카카오 등 국내외 671개 업체가 정보보호 공시 의무 대상 기업으로 선정됐다.
구글, 넷플릭스, 메타를 비롯해 한국MS, AWS 등 글로벌 빅테크들도 의무 공시 대상이다. 이들 기업 중 정보보호 공시 의무를 제대로 이행한 곳은 넷플릭스가 유일하다.
넷플릭스는 지난 2022년부터 3년째 별도의 한국 법인 현황은 물론, 넷플릭스 그룹 통합의 정보기술부문 투자액(3조4992억원)과 정보보호부문 투자액(2147억원5695만원), 정보보호기술부문 전체 인력(3921명), 전담 인력(229명) 등 전부 구체적으로 공시했다.
나머지 글로벌 빅테크들은 투자나 인력 등 핵심 내용은 빼고 일반적인 보안 조치 서술에 그치고 있다. 내용도 부실하다. 3년째 같은 내용만 공시하고 있다.
일례로 구글은 우리나라 국민 90%가 이용하는 유튜브를 서비스 하지만 의무공시에 보안 정책과 관련한 국내 인증·평가 점검 등을 나열했을 뿐이다. 매년 대동소이한 수준이다. 인스타그램·페이스북을 운영 중인 메타 역시 전반적인 보안 기술 조치와 보안 취약점 식별을 위한 레드팀 활동을 기술했지만, 국내에 한정된 보안 조치가 포함되지는 않았다.
과기정통부 관계자는 "대부분 외국계 기업들이 국내에 법인을 설립할 경우, 보안관련 조직이나 시설은 해외에 두고 있고, 글로벌 차원에서 운영·관리하고 있기 때문에 한국 별도로 제출할 내용이 없다는 입장"이라면서 "이런 상황에서 정보보호 공시를 구체화하도록 강제할 권한이 없어, 해외 기업들이 적극적으로 협조할 수 있도록 지속적으로 논의하고 있다"고 밝혔다.
박진영 기자sunlight@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
