이상휘 의원 "CISO 연봉 높아 채용 대신 1천만원 과태료…보안 투자 인색"

최근 국내외 해킹 피해가 잇따르며 사이버 보안에 대한 국민적 불안이 커지고 있지만, 정부의 정보보호 공시제도가 요식행위에 불과해 실효성 논란이 제기됐다.

21일 이상휘 의원(국민의힘)이 한국인터넷진흥원으로부터 받은 ‘최근 5년간 정보보호 공시의무대상’ 자료에 따르면 2025년 기준 정보보호 공시의무대상은 총 666개 기업이며, 이 중 23.7%인 158개의 기업은 정보보호 부문 인력이 0명이었. 심지어 26곳은 아예 정보보호최고책임자(CISO)를 지정조차 하지 않았다.

정보보호 공시제도는 정부가 국민의 안전한 인터넷 이용과 기업 정보보호 투자 활성화를 위해 일정 규모 이상 기업을 대상으로 시행하며, 정보보호 투자와 전담 인력, 관련 활동 등 기업의 정보보호 현황을 의무 공개하는 제도다.

국민에게 기업의 보안 수준을 투명하게 공개해 자율적 경쟁을 유도하기 위한 제도지만 지금은 기업들이 형식적 보고서만 내고 끝나 공시 이후 관리가 허술하다는 지적이 있다.

특히 해외에 본사를 두고 있는 글로벌 기업인 구글, 메타, 오라클 등은 정보보호 국내 전담 인력과 투자액을 아예 표기하지 않았다. 글로벌 시장에서 사업을 운영하는 만큼, 국내 정보보호 투자 자료를 따로 산출하는 것이 어렵다는 입장이다.

이상휘 의원은 “일부 기업들은 CISO의 연봉이 높아 채용 대신 연 1천만원의 과태료를 납부하는 도덕적 해이가 벌어지고 있다”면서 “해킹과 개인정보 유출 사태에도 많은 기업이 보안 투자에 인색하다”고 비판했다.

이어 “지금의 정보보호 공시제도는 공시만 있고 보안 대책과 후속 조치는 없다”면서 “해킹의 불안을 잠재우기 위해서 정부는 실효성 있는 제도개선에 즉각 나서야 한다”고 강조했다.