 |
30일 한국인터넷진흥원(KISA) 정보보호 공시 현황에 따르면 CJ올리브네트웍스의 2024년 IT 부문 투자액은 609억4167만8799원으로 2023년(558억2505만9934원)보다 9.2% 증가했다.
정보보호 부문 예산도 같은 기간 79억1852만1150원에서 87억2766만5574원으로 10.2% 늘었다. IT 투자액 대비 보안 투자 비율은 14.2%에서 14.3%로 소폭 상승하며 두 해 모두 10%대 중반을 유지했다.
인력 역시 비슷한 흐름이다. IT 인력 대비 정보보호 전담 인력 비율은 2023년 9.3%에서 2024년 12.8%로 올랐다. 정보보호 부문 전담 인력 규모는 22.5명에서 25.8명으로 14.7% 증가했고, 이 중 외주 인력 비중은 5분의1 수준에 머물렀다.
기업 전체의 기술적 보안 및 개인정보 처리 등을 총괄하는 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)는 모두 '정보보호사업단장' 직책이 겸직하고 있다. 회사 측에 따르면 작년까지 정보통신망법 기준으로 임원 필수 대상 기업이 아니었으나, 올해부터는 필수 대상이 되어 CISO와 CPO가 임원급으로 상향됐다.
정보보호 인증이나 관리 체계는 촘촘하게 유지됐다. CJ올리브네트웍스는 공시에서 정보보호관리체계(ISMS)를 비롯한 각종 정보보호 인증과 내부 보안 점검, 모의훈련, 임직원 교육 등 활동을 기재했다.
이처럼 보안 예산과 인력은 꾸준히 늘렸음에도 인증서를 다루는 핵심 영역에서 통제가 부족했던 것이 사고 원인으로 풀이된다.
보안업계에 따르면 지난 4월 말 공개된 북한발 악성파일에서 CJ올리브네트웍스의 디지털 서명이 발견됐다. 디지털 서명은 사용자가 개인 디바이스에 설치한 프로그램이 특정 회사가 만든 정상적인 파일이라고 증명하는 용도로 쓰인다.
업계에서는 북한 정찰총국 산하 해킹그룹 '김수키'가 이번 해킹에 연루된 것으로 의심하고 있다. 회사 측은 해당 인증서를 즉시 폐기했고, 고객 개인정보와는 무관한 소프트웨어 서명 전용 인증서라고 해명했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.