[디지털데일리 이안나기자] 정보보호 중요성이 높아지는 가운데, 다양한 산업에 속한 기업들이 정보보호 공시를 공개하고 있다. 2022년부터 시작된 정보보호 공시제도는 기업이 자발적으로 정보보호 현황을 공개하는 제도다.

매출액 3000억원 이상 또는 정보통신 서비스 일 평균 이용자 수 100만명 이상 사업자는 ▲정보보호 투자 ▲전담인력 ▲관련 활동 등 기업 정보보호 현황을 의무적으로 공시해야 한다. 올해 정보보호 공시 의무 대상기업은 총 662개사다. 국내 기업뿐 아니라 국내에 법인을 두고 있는 일부 해외 기업들도 포함됐다.

공시 의무 기업에 포함된 해외 소프트웨어 솔루션 기업들 중에선 ▲한국마이크로소프트(MS) ▲한국오라클 ▲한국IBM 등이 꼽힌다.

다만 국내기업들과 달리 해외 한국 지사들은 현실적으로 국내 정보보호 투자 현황만 부분적으로 공개하기 어려운 경우가 많다. 과학기술정보통신부는 이런 여건을 고려해 정보보호 투자 방향과 활동 현황 등 공개가능한 정보를 제공하는 방식도 가능하도록 만들어 공시에 참여하도록 유도하고 있다.

해외기업들이 정보보호 공시제도에 형식적으로 참여한다는 지적을 피하기 위해선 좀 더 적극적인 노력이 필요해 보인다. 해외 한국지사들은 본사 연간보고서 등을 참고해 정보보호 공시를 공개하는데, 대부분 내용은 지난해 제출한 것을 그대로 가져온 수준이었다.

그나마 한국IBM은 본사 업데이트된 연간보고서에 맞춰 정보보호 활동에 대한 내용을 각 항목에 맞춰 서술했다. 한국MS는 본사 및 한국 지사 직원 수 등이 최신 날짜 기준으로 수정됐지만 정보보호 투자 활동, 사이버보안 인증 등 추가 기재 내용은 작년 것을 그대로 가져왔다. 한국오라클도 지난해 공시와 동일하게 본사 ‘오라클 보안 사례’ 보고서 항목들을 나열한 수준에 그쳤다.

한국MS는 공시에서 정보기술·정보보호 투자액 부문을 두고 “MS와 한국MS 해동 투자 또는 지출 범주에 관한 정보는 제공이 어렵다”면서도 “MS 글로벌 투자는 한국MS에도 적용되는데, MS는 2021년부터 2025년까지 사이버 보안 분야에 200억달러(약 27조원) 이상을 투자할 계획에 따라 2022년 사이버 보안에 대해 40억달러(약 5조5000억원)를 넘게 투자했다”고 전했다.

전 세계 MS 직원 약 22만1000명 중 한국MS 직원은 지난해 기준 515명이다. 한국MS 정보보호부문 전담인력 수와 비율은 공개하지 않았지만, MS 전사적으로 사이버 보안 업무를 전담하는 인력은 1만명 이상이라고 밝혔다. 이는 지난해 공시에서 공개한 사이버 보안 인력 수(2021년) 8500명 이상 보다 1500명 가량 늘어난 수치다.

MS는 브렛 아세놀트(Bret Arsenault) 정보보호최고책임자(CISO)는 안보 이슈 관련 부서간 조정을 위해 열리는 MS 정보 리스크 관리 위원회 의장으로도 수행하고 있다고 전했다. 줄리 브릴(Julie Brill) 개인정보보호책임자(CPO)도 국제개인정보보호전문가협회 이사회 멤버 등으로도 역임하고 있다. 국내에서 MS 애저는 데이터 호스팅을 위한 한국 정보보호 관리 체계 인증을 취득했다.

한국IBM 역시 글로벌 차원 정보보호시스템을 구축·운영하고 있다는 이유로 국내 정보보호 투자액 세부내역은 공개하지 않았다. 단 IBM은 사이버보안 위협에 효과적으로 대처하기 위해 정보보안 전략·정책·절차를 전담하는 CISO를 두고 있으며, 개인정보보호책임자(CPO)도 전담 인력을 지정하고 있다.

정보보호를 위한 활동 내용도 다양했다. 회사 전사적 리스크 관리 프레임워크엔 사이버보안 부분이 통합돼있고, IBM 네트워크 및 시스템 위협을 모니터링하는 보안운영센터(SOC)를 유지하고 있다. 제3자 업체를 통해 사이버보안 관행을 보완·검토하고 글로벌 사고 대응 프로세스를 갖추고 있다는 점도 기재했다.

한국오라클도 “글로벌 차원에서 정보보호 체계를 구축·운영 중에 있어, 한국오라클이 국내에 한정된 정보보호관련 자료를 취합하는 건 어렵다”며 “단 오라클은 글로벌 클라우드 회사로서 정보보호를 중요하게 생각하며 광범위하고 철저한 정보보호 시스템을 구축하고 있다”고 전했다.

오라클은 CISO가 다른 직무와 겸직하고 있지만 CPO는 지정하지 않았다. 조직에 대한 보안활동으로 오라클 보안감독위원회, 글로벌 보안조직, 정보기술조직, 기밀유지계약, 독립 검토 등을 통해 정보보안 작업을 실시하고 있다. 이외 운영 관리 활동으론 악성 코드로부터 보호, 로그 정보 모니터링·보호, 출입 통제 활동으론 사용자 엑세스 관리와 직무 분리를 통한 통제를 하고 있음을 전했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -