[디지털데일리 왕진화 기자] 1위 헬스앤뷰티(H&B) 사업자 CJ올리브영과 패션 플랫폼 1위 무신사의 지난해 정보보호 현황이 공개됐다. 특히 지난해 2월 1만명의 회원 개인정보 유출 사고를 겪었던 CJ올리브영의 경우 보안투자 규모는 늘었으나 여전히 적은 정보보호 내부 인력 규모를 갖춘 것으로 분석됐다.
5일 정보보호 공시 종합포털 KISA에 따르면 CJ올리브영(이하 올리브영) 정보기술(IT) 및 정보보호 투자액은 전년 대비 각각 크게 늘어났지만, IT투자액에서의 정보보호 투자 비중 자체는 소폭 줄었다. 지난 2022년 5.4%였던 비중은 지난해 4.1%로 1.4%포인트(p) 감소했다.
정보보호 부문을 전문적으로 담당하는 인력의 비중 역시 뒷걸음질 쳤다. 숫자 자체로만 봤을 때, 우선 IT부문 인력은 지난 2022년 220명에서 지난해 346.6명으로, 1년 사이 126.6명(57.5%)이 늘어났다. 정보보호 부문을 전담하는 인원 역시 5.6명에서 7.7명으로 2.1명(37.5%) 증가했다.
그러나 비중으로 따지면, 전체 IT부문 인력 대비 정보보호 부문 전담 인력은 2.5%에서 2.2%로 0.3%p 줄어들었다. 정확히는 1년 사이 내부인력에서 1명, 외주인력에서 1.1명 고용하는 데 그친 셈이다. 투자액은 2배 가까이 늘렸지만 정보보호 관련 인력을 고용하는 대신 전사 보안점검 및 보안정책 고도화에 집중한 것으로 분석된다.
갈수록 올리브영이 온라인 강화에 힘을 주고 있는 상황과 정보보호 전담 인력이 소폭 늘어난 모습은 대비된다. 실제로 올리브영은 온·오프라인을 아우르는 옴니채널 전략을 바탕으로 매장 체험 기능 진화와 함께 ‘오늘드림’을 중심으로 하는 즉시배송 서비스 등을 제공하며 빠르게 성장해왔다.
또한, 1300개 이상 매장과 온라인몰을 찾는 고객이 급증함에 따라 올리브영이 수집하고 분석해야 하는 데이터 종류와 규모도 늘어난 상황이다. 뷰티 채널 1위라는 외형에 걸맞게 정보보호를 위한 내부 전담 인력 투자에도 적극적이어야 한다는 분석이 나오는 이유다. 정보보안은 결국 인력 규모와도 궤를 같이 하기 대문이다.
다만 IT 전반에 걸쳐진 투자액 규모는 크게 늘어났다. 올리브영의 지난해 전체 IT투자액은 916억376만원으로, 전년(497억6009만원) 대비 84.1% 급증했다. 정보보호 부문 투자액 역시 비례했다. 전년(26억6879만원)보다 41.9% 증가한 37억8571만원을 기록했다.
패션 플랫폼 1위 무신사 역시 올리브영처럼 IT 투자액을 규모 있게 늘렸다. 과거 무신사 또한 개인정보 유출 사고가 있었던 만큼 이를 대비한 것으로 보인다. 무신사의 지난해 IT 투자액은 704억6089만원으로, 전년(467억7601만원) 대비 50.6% 증가했다.
정보보호 부문 투자액 역시 같은 기간 27억3246만원으로, 전년(14억3319만원)보다 90.7% 급증했다. IT 투자액 대비 정보보호 부문 투자액 비중은 지난 2022년 3.1%에서 지난해 3.9%로, 0.8%p 늘어났다.
IT부문 인력과 정보보호 전담 인력도 투자액이 늘어난 만큼 증가했다. 무신사의 IT부문 인력은 317.9명에서 431명으로, 1년 사이 113.1명(35.6%) 늘어났다. 정보보호를 전문으로 담당하는 내부 인력은 지난해 기준 8명이었고, 외주인력은 없었다. 지난 2022년 4.6명에서 3.4명(73.9%)을 더 고용한 셈이다. 따라서 IT부문 인력 대비 정보보호 전담 인력 비중도 0.5%p 늘어났다.
같은 1위이지만 차이는 또 있었다. 바로 최고정보보호책임자(CISO) 및 최고보안책임자(CPO) 지정 현황이다. 올리브영 경우 CISO나 CPO 모두 임원이 아니었으며 직책은 각각 센터장, 담당이었다. 겸직은 하지 않고 있었지만 주요 활동 역시 0건에 불과했다. 반면 무신사는 CISO 및 CPO가 모두 임원에, 직책 역시 실장이었다.
한편, 정보보호 공시는 정보보호산업법에 따라 일정 요건을 충족하는 기업에 의무가 주어진다. 기간통신사업자, 집적정보통신시설(IDC) 사업자, 상급종합병원, 클라우드서비스 제공자, 매출 3000억원 이상 상장사, 하루 평균 서비스 이용자 수 100만명 이상 등이 요건이다. 의무공시 제도는 2022년부터 시행됐다.
올리브영과 무신사는 각각 의무 대상자에 해당 되지 않았음에도 자율적으로 정보보호 현황을 공시했다. 그러나 패션 플랫폼 에이블리, 지그재그(카카오스타일) 등은 자율적으로도 공시하지 않았다.
.png?type=nf190_130)
