“정보보호 인력 전무한 기업 23%”…이상휘, 도덕적 해이와 제도 미비 비판

정보보호 공시제도를 둘러싼 제도 미비 논란이 정국에서 다시 불거지고 있다. 국민의힘 이상휘 의원과 한국인터넷진흥원(KISA)이 2025년 10월 21일 밝힌 자료에 따르면, 정보보호 공시 의무 대상 기업의 4곳 중 1곳에서 정보보호 전담 인력이 한 명도 없는 것으로 나타났다. 국민 안전을 위한 정보보호 공시가 사실상 형식에 그치고 있다는 비판이 거세지고 있다.

이상휘 의원이 KISA로부터 받은 최근 5년간 정보보호 공시 의무 현황에 따르면, 올해(2025년) 기준으로 공시 의무 기업 666곳 중 23.7%에 달하는 158개 기업이 정보보호 인력을 전혀 채용하지 않았다. 또, 같은 기간 26개 기업은 정보보호책임자(CISO)조차 지정하지 않고 있었던 것으로 파악됐다.

특히 해외에 본사를 둔 구글, 메타, 오라클 등 빅테크 기업들은 정보보호 국내 전담 인력과 투자 내역을 아예 별도로 표기하지 않았다. 이들 기업은 "글로벌 시장에서 일괄적으로 사업을 운영해 국내 자료를 따로 산출하기 어렵다"는 입장을 밝혔다.

정보보호 공시제도는 일정 규모 이상 기업에 정보보호 투자, 전담 인력 등을 공개하도록 의무화해 국민에게 정보를 제공하고 자율경쟁을 유도한다는 취지다. 그러나 상당수 기업이 보고서만 형식적으로 제출한 뒤 실질적인 인력·투자 확보에는 소극적이라는 지적이 꾸준히 이어진다.

이상휘 의원은 "일부 기업들은 CISO의 연봉이 높다는 이유로 연 1천만원 과태료만 납부하며, 인력 채용을 외면하는 도덕적 해이가 심각하다"고 지적했다. 이어 "해킹과 개인정보 유출 사태에도 기업 상당수가 보안 투자에 여전히 인색하다"며, "정부는 국민 안전 보장을 위해 제도의 실효성 강화에 나서야 한다"고 강조했다.

정치권은 인터넷 안전을 내세운 공시제도의 실효성에 의문을 제기하며 향후 법령 개정 및 제도 개선 논의가 본격화할지 주목하고 있다. 정부와 국회는 정보보호 관리 감독 체계의 실질적 강화 방안을 검토할 방침이다.