“정보보호 인력 0명 기업 속출”…공시제도 실효성 논란 확산

국내 주요 기업들의 사이버 보안 실태가 심각한 수준인 것으로 드러났다. 정보보호 공시 의무제도가 도입된 지 수년이 지났지만, 실질적 보안 역량 확보에는 여전히 난항을 겪고 있다. 국회 과학기술정보방송통신위원회 소속 이상휘 국민의힘 의원이 한국인터넷진흥원(KISA)로부터 받은 ‘최근 5년간 정보보호 공시 의무대상’ 자료에 따르면, 2025년 기준 공시 의무기업 666개 중 158곳(23.7%)이 정보보호부문 인력이 전혀 없는 상태로 나타났다. 이 가운데 26개사는 정보보호최고책임자(CISO) 지정도 하지 않은 것으로 파악됐다.

정보보호 공시제도는 일정 규모 이상의 기업을 대상으로 보안 투자, 전담 인력, 관련 활동 현황을 공개하도록 의무화한 정부 정책이다. 취지는 국민에게 기업의 사이버 보안 수준을 투명하게 알리고, 업계 내 정보보호 투자 경쟁을 유도하자는 데 있다.

그러나 실제로는 공시가 '형식적 보고'에 그치고, 공시 이후 별도 관리·감독이 미비하다는 지적이 반복돼 왔다. 일례로 구글, 메타, 오라클 등 글로벌 본사를 둔 정보통신 대기업들은 국내 전담 인력 및 투자 내역을 아예 표기하지 않았다. 글로벌 운영 구조상 국내 정보보호 투자 자료 산출이 어렵다는 입장이지만, 국내 이용자 대상 사업을 영위하는 만큼 법적 공백이 우려된다는 비판도 제기된다.

또한 일부 기업들은 “정보보호 책임자(CISO)의 연봉이 높다는 이유로 오히려 채용 대신 매년 1000만원 수준의 과태료를 내는 편이 실질적으로 비용이 적다”고 인식, 구조적 도덕적 해이를 드러냈다. 정보 유출 사고와 해킹 공격 급증에도 상당수 기업이 정보보호 인력 채용과 투자에 소극적으로 머무르는 실태가 정부 자료로 공식 확인된 셈이다.

정보보호 공시는 보안 관리체계(ISO 27001 등) 인증 여부와도 무관하게 모든 의무 사업자에 적용 중이다. 다만 의무 공시 대상 확대나 불이행 기업 제재 강화 등 정책적 후속 조치는 취약한 실정이다. 주요 선진국도 사이버 보안 인력과 투자 공개 기준을 수립하고 있지만, 별도 내부통제 강화 조항 및 글로벌사 대상 적용 방안 등을 두고 실무 논의가 활발하다.

이상휘 의원은 “지금의 정보보호 공시제도는 공시만 있고 실질적 보안대책이나 후속 관리가 빠져있다”며 “정부가 즉각적인 제도 보완책을 마련해 해킹 위협에 체계적으로 대응해야 할 시점”이라고 강조했다.

업계와 전문가들은 정보보호 공시가 실효성을 갖추기 위해 인력·투자 명확 공개, 이행력 확보장치 도입, 글로벌 사업자 준수 의무 강화가 필요하다는 분석을 내놓고 있다. 산업계는 이번 조치가 실제 현장에 스며들 수 있을지 주시하고 있다.