[ⓒ 카카오엔터프라이즈]

[디지털데일리 이나연 기자] 올해 초 임직원 계정 정보가 유출된 카카오엔터프라이즈가 사고 이전부터 보안 예산과 인력을 꾸준히 줄여온 사실이 확인됐다.

경영 악화와 누적 적자로 2023년 7월부터 돌입한 대규모 구조조정 영향이 리소스 절벽, 취약한 내부 거버넌스와 맞물리며 보안 사고로 이어졌다는 분석이다.

30일 한국인터넷진흥원(KISA) 정보보호 공시 현황에 따르면 카카오엔터프라이즈의 정보기술(IT) 부문 투자액은 2023년 2082억8320만1630원에서 2024년 1337억3925만3518원으로 약 36% 줄었다. 같은 기간 정보보호 예산은 112억2322만5240원에서 65억7059만9515원으로 42% 정도 급감했다.

전체 IT 투자에서 보안이 차지하는 비중은 5.4%에서 4.9%로 더 낮아졌다. 애초에 적던 예산이 더 줄어든 셈이다.

작은 규모의 인력도 더 축소됐다. 총 임직원은 2023년 1002.5명에서 2024년 527.3명으로 반토막 났다. IT 인력은 876.3명에서 524.1명으로 약 40%가 빠졌고, 보안 전담 인력은 54명에서 27.3명으로 49%가량 감소했다. IT 인력 대비 보안팀 비중은 6.2%에서 5.2%로 주저앉았다.

보안팀 내부를 들여다보면 절반가량이 외주다. 2023년 54명 가운데 25.4명이, 2024년 27.3명 중 12.8명이 용역이었다. 외주 의존률은 47% 수준으로 유지됐다.

지휘 체계를 보면 기업 전체의 기술적 보안을 총괄하는 정보보호 최고책임자(CISO)는 '팀장' 직책이며 임원도 아니었다. 반면 회사의 개인정보 처리에 있어 법적·관리적 책임을 살피는 개인정보보호책임자(CPO)는 '실장'이자 임원이었다.

다만 정보보호 관련 인증과 이용자 보호를 위한 활동은 일관되게 이어오고 있다. 작년과 재작년 모두 정보보호관리체계(ISMS)와 클라우드 보안인증(CSAP), 국제표준화기구(ISO)의 27001·27017·27018·27701·27799, 국제 클라우드 서비스 정보보호 인증(CSA STAR Gold) 등 국내외 인증을 받았다.

카카오엔터프라이즈 관계자는 "올해 정보보안실로 조직을 격상시켜 보안 체계를 강화하고 보안 전문가 영입을 지속 확대해 전문성을 강화하고 있다"고 말했다.

한편 카카오엔터프라이즈는 지난 2월21일 내부 인프라 서버가 악성코드에 뚫리면서 임직원 60여명 계정 정보(이메일, 비밀번호 등)가 유출되는 사고를 겪었다. 유출된 서버는 내부 직원 전용이었으며, 고객 정보는 유출되지 않았다.