정보보호 부실공시에 과태료 상향…구글·메타 등 외국계 기업들 화들짝

과학기술정보통신부가 정보보호 공시 부실 기업에 과태료를 부과하는 등 정보보호 공시 제도를 강화하자 그동안 정보보호 공시를 소홀히 하던 외국계 기업이 제도에 적극 동참하고 나섰다. 과거 정보보호법령 위반으로 막대한 과징금을 부과받은 전례가 있어서다. 과기정통부는 정보보호 투자 금액이나 정보보호 인력 등 정량평가가 불가능한 외국계 기업에 대해선 정성평가를 강화하기로 했다.

25일 KISA(한국인터넷진흥원) 정보보호 공시 종합 포털에 따르면 2022년 개인정보보호법 위반으로 692억원의 과징금 처분을 받은 구글은 올해 정보보호 공시에서 보안 관련 레드팀을 운영 중이라고 새롭게 밝혔다. 레드팀은 해커의 입장에서 보안 취약점을 점검하는 조직을 말한다. 또 SW(소프트웨어) 공급망 보안에 대한 새로운 연구 보고서를 발표한 사실과 연례 보안 서밋 개최, 구글 클라우드가 금융보안원으로부터 금융 관련 위험을 평가받았다고 구체적으로 공시했다.

구글과 함께 개인정보보호법 위반으로 308억원의 과징금 처분을 받았던 메타 역시 올해 공시에서 2022년 200만달러 이상의 버그 발견 포상금을 지급했다고 밝혔다. 또 제3자 코드 버그를 정기적으로 해당 회사들에게 알리며, 완화 방안을 테스트하고 확인하기 위해 해당 회사들과 직접 협력 중이라고 하는 등 레드팀의 활동 내역을 상세히 공시했다.

2016년부터 한국 법인이 본사와 별도로 국내 사업 전체를 총괄하는 넷플릭스는 정보기술부문 투자액(3조4647억원)과 정보보호부문 투자액(2741억7098만원), 정보보호 총 임직원 수(1만2800명)와 정보기술부문 인력(3554명), 정보보호부문 전담인력(313명) 등을 전부 공시했다. 또 AWS(아마존웹서비스)를 활용한 보안 장치를 도입했다고 밝히기도 했다.

과기정통부는 정보보호 공시 제도를 꾸준히 강화해 나가는 중이다. 지난 3월 정보보호산업법 개정안이 국회를 통과해 올해부터 공시가 부실하거나 허위인 경우 과기정통부가 기업에 검증 또는 수정을 요청할 수 있다. 이에 응하지 않는 기업은 최대 1000만원의 과태료 처분을 받을 수 있다.

또 외국계 기업이 국내 파트만 별도로 계산하기가 불가능하다는 이유로 정보보호 투자 현황이나 정보보호 인력 현황을 공개하지 않는 문제를 해결하기 위해 정보보호 인증이나 활동 등을 구체적으로 공시하도록 했다. 과기정통부는 최근 외국계 기업 정보보호 관계자들을 만나 모범 공시 사례를 소개하는 간담회를 갖기도 했다.

과기정통부 관계자는 "올해는 지난해보다 30곳 늘어난 70개 기업을 대상으로 사후검증을 진행할 예정"이라며 "외국계 기업의 경우 정량평가가 불가능한 만큼 관련 자료를 검토할 예정이다. 정보보호 활동내역에 기재한 행사 관련 사진이나 계획서, 전문가 회의 결과 등을 면밀히 검토해 외국계 기업들도 부실하게 공시한 내용이 있는지 철저히 점검할 계획"이라고 말했다.