정보보호 투자 3위라더니…쿠팡 ESG보고서, 물류 성과만 잔뜩

지속가능경영보고서 10여쪽 분량 압축
정보보호 시스템·리스크 관리 등 안내도 빠져
삼성전자·KT 등 정보보호 투자 상위 기업
매년 100페이지 안팎 보고서 발간과 대조

정보보호 부문에서 국내 3대 투자 기업으로 꼽히던 쿠팡이 관련 영역에 대한 구체적인 운영 방침이나 이행 성과 등 세부 정보를 공개하는 데는 인색한 것으로 나타났다. 정보보호 부문 상위 기업들이 매년 지속가능경영보고서를 통해 회사의 정보보호 체계를 자세히 소개하고 침해 사고를 예방하기 위한 시스템을 부각하는 반면, 쿠팡은 물류시스템이나 고용성과 등을 내세우는 데만 초점을 맞추고 있어서다. 정보보호 투자액과 비교해 이에 대한 관심과 내실 운영에 소홀해 3370만건에 달하는 대규모 고객 정보 유출 사태를 초래했다는 주장이 설득력을 얻는 이유다.

10일 한국인터넷진흥원(KISA)의 정보보호 공시에 따르면 쿠팡의 정보보호 부문 투자액은 지난해 기준 약 890억원으로 국내 도매 및 소매 사업자 중 1위다. 업종 전체로 범위를 넓히면 제조업 부문의 삼성전자(3478억원)와 정보통신업 부문 KT(1250억원)에 이어 세 번째로 많다. KISA 자료는 각 기업이 정보보호에 얼마나 많은 투자를 하는지 파악하는 데 사용된다.

쿠팡의 정보보호 부문 투자액은 2021년 535억원에서 매년 증가하고 있다. 하지만 이와 관련한 구체적인 성과나 정보를 공개하는 데는 소극적이다. 당장 삼성전자나 KT가 100페이지 안팎의 지속가능경영보고서에서 회사의 ESG(환경·사회·지배구조) 활동을 부각하면서 정보보호 체계와 리스크 관리를 위한 프로세스 등을 소개하는 데 상당한 분량을 할애한 것과 비교된다.

이들 회사의 지속가능경영보고서에 따르면 삼성전자는 개인정보보호팀장이 개인정보관리책임자(CPO)로서 관련 안건을 다양한 수준에서 관리·감독한다. 또 정보보호센터장이 정보보호최고책임자(CISO)로서 보안 컨트롤타워 역할을 수행한다. 임직원들이 일상에서 개인정보보호 실천을 강화할 수 있도록 '개인정보보호 임직원 가이드라인'과 '개인정보처리 위탁 가이드' 등을 제공하고, 매년 모든 임직원을 대상으로 개인정보 보호 교육을 필수적으로 진행한다는 내용도 안내하고 있다. 특히 업무상 개인정보를 취급하는 직원은 매년 해당 업무에 특화된 별도의 개인정보보호 교육을 이수해야 한다.

KT도 정보보호 안건의 신속한 의사결정을 위해 정보보안전략위원회(ISSC) 조직을 두고 회사의 정보보호에 관한 주요 사항을 다루고 있다. 정보자산 보호가 중요해지면서 기존 최고기술책임자(CTO) 산하 정보보안단도 최고경영자(CEO) 직속 기구인 정보보안실로 격상했다. 임직원의 보안 인식 수준을 높이기 위해 정보보호 교육도 연 2회 정기적으로 시행한다.

앞서 미국 뉴욕증시 상장사이자 쿠팡의 모회사인 쿠팡Inc가 올해 2월 미국 증권거래위원회(SEC)에 제출한 연례보고서에 따르면 쿠팡도 CISO 산하에 200명 규모의 정보보안팀이 제3자 벤더와 서비스 제공업체, 고객 등과 관련된 정보에 접근 등 관련된 보안 사고를 감독하고 식별하는 시스템을 운영 중이다. 그러나 국내에서는 2022년부터 10여쪽짜리 '임팩트 리포트'로 지속가능경영보고서를 갈음하고 이마저도 물류 인프라 투자액이나 소상공인 거래액, 고용성과 등을 내세우는 데만 집중하고 있다.

김승주 고려대 정보보호대학원 교수는 "기업의 정보보호 부문에 대한 투자는 금액보다 매출 대비 비중이 훨씬 중요하다"면서 "지난해 기준 41조원이 넘는 쿠팡의 연 매출을 고려했을 때 정보보호 부문에 대한 투자 비중은 0.2% 수준으로 미미하다"고 짚었다. 그러면서 "이마저도 관련 인력을 운용하기 위한 인건비가 포함됐을 것이고, 책임자로 연봉이 높은 외국인을 다수 고용해온 점을 고려하면 그 비용도 만만치 않을 것"이라며 "실제 정보보호 시스템을 위해 얼마나 많은 투자가 이뤄졌고 어떤 효과를 냈는지 따져볼 필요가 있다"고 덧붙였다.

김흥순 기자 sport@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>