[ⓒ픽사베이]

[디지털데일리 김보민기자] 정보보호 공시 이행 기간이 30일 막을 내린다. 주요 기업들이 앞다퉈 지난 한 해 정보보호 투자 현황을 공개한 가운데, 보안업계에는 올해도 찬바람이 불고 있다. 의무공시 기준을 충족할 만큼 규모가 큰 보안기업이 한손에 꼽히는 탓이다.

다만 의무가 없더라도 자율공시를 이행한 보안기업이 등장했다는 점은 고무적인 대목이다. 보안기업 또한 사이버 공격의 먹잇감으로 떠오른 가운데, 정보보호 투자에 대한 현황을 투명하게 공개하자는 취지다. 정부 사업에 참여할 때 가점을 받기 위한 행보로도 해석된다.

30일 KISA 정보보호 공시 종합 포털에 따르면, 공시를 마친 의무대상 보안기업으로는 안랩·에스원이 있다. 안랩은 2023년부터, 에스원은 2022년부터 의무공시를 이행하고 있다.

공시에 따르면 안랩의 정보기술(IT)부문 투자는 2023년 595억860만원에서 지난해 654억3982만원으로 증가했다. 정보보호 투자액은 103억8332만원에서 109억3071만원으로 늘었다. 다만 IT부문 대비 정보보호 투자 비중은 17.4%에서 16.7%로 소폭 하락했다.

같은 기간 에스원은 IT부문 투자가 550억8968만원에서 572억8069만원으로 늘었다. 정보보호 투자액은 40억1453만원에서 41억8915만원으로 증가했다. IT부문 대비 정보보호 투자 비중은 7.3% 수준을 유지했다.

보안사업을 운영하는 헥토이노베이션도 의무 공시를 마쳤다. 같은 기간 헥토이노베이션의 정보보호 투자액은 12억3784만원에서 14억341만원으로 늘었다. IT부문 대비 비중은 12.0%에서 11.6%으로 소폭 줄었다.

현재 의무공시 대상자으로는 ▲회선설비 보유 기간통신사업자 ▲집적정보통신시설 사업자 ▲상급종합병원 ▲클라우드컴퓨팅 서비스 제공자다. 규모 기준으로는 ▲정보보호최고책임자(CISO)를 지정·신고해야 하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3000억원 이상 등이 있다. 이 밖에도 ▲정보통신 서비스 일일 평균 이용자 수가 100만명 이상인 곳도 의무 기준에 속한다.

다만 국내에는 해당 기준에 부합할 만큼 덩치가 큰 보안 기업이 많지 않다. 대신 올해에는 자율공시를 마무리한 보안기업이 있어 주목을 받고 있다. 그간 의무공시 외 자율적으로 공시를 이행하는 보안기업은 사실상 전무했다. 정보통신망을 통해 정보를 제공하거나, 정보 제공을 매개하는 기업이라면 이해관계에 따라 자율공시를 이행할 수 있다.

자율공시 명단에 이름을 올린 대표적인 기업으로는 지니언스가 있다. 올해 처음 공시를 이행한 지니언스는 지난해 IT투자 69억8485만원과 정보보호 투자 9억2014만원을 집행했다. IT 투자 대비 정보보호 투자 비중은 13.2% 수준이다.

이니텍과 로그프레소도 올해 첫 자율공시를 마쳤다. 같은 기간 이니텍의 IT부문 투자는 105억5885만원, 정보보호 투자는 5억9770만원을 기록했다. 비중은 5.7% 수준이다. 로그프레소는 정보보호에 9965만원을 투자하며 비중 2.9%를 기록했다. 이외 한화비전 앰진도 자율공시를 이행했다.

정보보호 현황을 자율 공시한 경우에는 공시 시점부터 1년 내 정보보호 및 개인정보보호 관리체계(ISMS 또는 ISMS-P) 인증심사 수수료를 할인받을 수 있다. 공시 의무가 없더라도 관련 기업들이 자발적으로 보안 투자 현황을 공개하도록 유도하는 일종의 인센티브 전략이다.

인센티브 외에도, 보안기업으로서 투자 현황을 투명히 공개하겠다는 의지도 깔려있다. 보안기업 또한 내외부 위협을 겪고 있는 만큼 선도 사례를 보이겠다는 취지다. 이동범 지니언스 대표는 최근 자료를 통해 "지니언스는 개발 단계에서부터 정보보호 전략 및 정책을 수립하고, 보안 문화 정착 및 대응 역량 고도화에도 힘쓰고 있다"며 "지니언스는 자율 공시를 통해 보안의 투명성과 신뢰를 높이고, 지속적인 투자로 국가 사이버 안보에 기여하겠다"고 밝힌 바 있다.

이와 더불어 정부 사업에 가점을 받기 위한 행보로도 해석된다. 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)은 현재 추진하고 있는 한국형 통합 보안 개발 등 시범사업 신청을 받을 당시 자율공시를 가점 요인으로 명시한 바 있다. 현재 로그프레소 컨소시엄은 KISA 시범사업 중 '중소·중견기업용 서비스형소프트웨어(SaaS) 기반 개방형 통합보안(XDR) 서비스 개발 사업'에 선정됐다. 앰진 컨소시엄은 '사이버 위협 통합검역 모델 기반의 중소기업 대상 APT 탐지 및 대응'에 최종 선정됐다.

한편 2025년도 정보보호 공시는 30일 마감된다. KISA 측은 공지를 통해 "하반기에는 정보보호 공시 이행이 불가하며, 기한 내 미제출 시 공시 불이행으로 판단한다"고 밝혔다.