[이제껏 본적없는 ‘AI해커’]
공시 3175건 전수분석 해보니

 

주요 글로벌 빅테크 기업의 한국 법인들이 정보보호 현황을 제대로 공개하지 않아 온 것으로 나타났다. 정보통신망법에 따라 정보보호 의무 공시 대상 기업은 2022년부터 투자액과 전담 인력 등 주요 정보를 공시해야 하는데, 국내 기업과 달리 글로벌 빅테크들은 투자액과 인력을 빈칸으로 비워놓는 경우가 대다수였다. 이 같은 부실 공시에도 정부는 보완 요구를 하지 않아 관리 감독이 소홀하다는 지적이 나온다.

 

국민일보가 15일 한국인터넷진흥원(KISA) 정보보호 공시 포털에 올라온 공시 3175건을 전수 분석한 결과 주요 글로벌 빅테크 기업 13곳(아마존웹서비시즈코리아·넷플릭스서비시스코리아·알리바바코리아·한국오라클·메타·한국IBM·엑스(X)·한국마이크로소프트(MS)·텐센트코리아·디지털리얼티코리아·알리익스프레스코리아·틱톡·구글)은 국내 정보보호 투자액과 인력 현황 등 공시 항목을 빈칸으로 제출했다. 대신 이들 기업은 형식적인 설명으로 채운 별도 서류를 제출하는 우회로를 택했다.

 

아마존은 “정보보호에 관한 투자는 글로벌 차원으로 이루어지고 있다. 정보보호에 지속적으로 투자하고 있다”며 구체적인 투자 규모와 인력 현황을 공개하지 않았다. 오라클 역시 “글로벌 차원에서 정보보호 체계를 구축하고 있어 국내에 한정된 정보보호 관련 자료를 취합하는 것이 어렵다”며 관련 수치를 제시하지 않았다.

 

넷플릭스는 글로벌 그룹 차원의 투자액과 인력 규모는 공개했지만 한국 법인의 정보보호 투자액은 0원, 정보보호 전략 인력은 0명으로 기재했다.

 

이전 공시자료를 그대로 재활용한 기업도 있었다. 알리바바는 2023년부터 올해까지 제출한 자료에서 일부 정보보안 인증 획득 내용 외에는 동일한 문구를 반복 사용했다. IBM 역시 2023~2024년 보안 활동 현황을 한 글자도 바꾸지 않고 그대로 제출했다.
 

 

국내 조직의 보안 책임 권한이 미흡한 사례도 확인됐다. 텐센트는 최고정보보호책임자(CISO)가 대리·과장급 수준이었고, 개인정보보호책임자(CPO) 역시 다른 업무를 겸직하는 부장급이었다. 국내에서 보안 사고가 발생하더라도 신속하고 책임 있는 의사결정을 하기 어려운 구조인 셈이다.

 

글로벌 빅테크의 부실 공시가 반복되는 배경으로는 뚜렷한 제재 수단이 없다는 점이 꼽힌다. 최수진 국민의힘 의원실이 과학기술정보통신부로부터 제출받은 자료에 따르면 정부는 2015년 정보보호 공시제도 도입 이후 단 한 차례도 부실 공시에 대한 과태료를 부과하지 않았다. 현행법상 과태료 부과 규정은 공시 자체를 하지 않거나 검증·수정 요청을 따르지 않은 경우에 한할 뿐 형식적인 공시에 대한 벌칙 규정은 없기 때문이다.

 

생략

 

https://n.news.naver.com/mnews/article/005/0001855153?sid=101