 |
GS리테일은 올해 초 편의점과 홈쇼핑에서 연이어 개인정보 유출 사고가 일어났다. 지난 1월 GS25 홈페이지가 해킹 공격을 받아 9만여건의 개인정보가 유출됐다. 이후 한 달 여 만인 지난 2월에도 홈쇼핑 업체인 GS샵 누리집에서 약 158만건의 개인정보가 유출된 정황이 파악됐다. 당시 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일, 기혼 여부, 결혼기념일, 개인통관고유부호 등 10개 항목의 정보가 유출된 것으로 파악된다.
CJ올리브영 역시 지난 3월 4900여건의 개인정보 유출 정황이 확인됐다. 당시 회사는 한국인터넷진흥원 개인정보보호위원회에 해당 사실을 신고했다. 홈페이지 공지를 통해 “비정상 로그인 성공 및 개인정보 유출 가능성이 확인됐다”며 “즉시 비정상 로그인 의심 계정 잠금 처리, 시스템 모니터링 강화 등 보호 조치를 완료했다”고 안내했다. 전담 고객센터를 운영할 예정이라고 알리기도 했다.
CJ올리브영은 비교적 적은 유출 건수에도 적극적으로 대응했다. 1일 한국인터넷진흥원(KISA) 정보보호 공시 현황을 분석한 결과, 정보보호부문 투자액 비중을 늘렸다. 2023년 37억8571만5275원에서 2024년 48억8777만8732원으로, 4.1%에서 4.3%로 증가했다. 전체 정보기술부문 투자액도 증가했다. 2023년 916억376만9711원에서 2024년 1149억5990만2520원으로 늘렸다.
 |
GS리테일 역시 지난해 정보보호 투자액이 전년 대비 큰 폭으로 늘어났다. 먼저 정보보호투자액은 2023년 34억7164만7199원에서 2024년 78억2924만4017원으로, 1년 새 2배 이상 증가했다. 전체 정보기술부문 중 차지하는 비율을 보면 2023년 1.9%에서 2024년 4.1%로 늘어났다. 정보보호기술부문 투자액은 1786억2891만7727원에서 1887억8696만3726원으로, 소폭 증가했다. 반면 정보보호투자액은 큰 폭으로 늘려 정보보호투자액이 큰 비중으로 늘어났다. 주요 투자 항목으로는 서버 및 DB접근통제 시스템 확대, 개인정보 접속기록 솔루션 도입, 보안관제 서비스 통합 부분이다.
당시 GS리테일은 최고 경영진들이 참여하는 정보보호 대책 위원회를 발족하고 “재발 방지에 최선을 다하겠다”고 밝힌 바 있다. 이 외에 정보보호 투자 확대, 정보보호 최신 기술 도입 등 시스템 고도화, 보안 정책 강화 등 종합 대응 방안을 마련한다고 밝혔는데, 이에 대한 후속조치인 셈이다.
다만 두 곳 모두 인력 보강은 아쉬운 지점이다. GS리테일은 정보기술부문 인력은 413.1명에서 499.4명으로 늘어났다. 정보보호부문 전담인력은 내부인력은 11.0명에서 14.2명으로, 외주인력은 5.3명에서 6.0명으로 늘어나는 데 그쳤다. 정보보호부문 전담인력 비중만 보면 3.9%에서 4.0%로, 미미한 변화다.
 |
CJ올리브영은 정보기술부문 인력 346.6명에서 454.9명으로 증가했다. 정보보호부문 전담인력은 내부인력 5.9명에서 8.8명, 외주인력 1.8명에서 2.9명으로 증가했다. 정보보호부문 전담인력을 늘린 것은 긍정적인 부분이지만, 정보기술부문 인력에서 차지하는 비중을 살펴봤을 때, 2.22%에서 2.6%로 소폭 증가했다.
두 기업 모두 정보보호최고책임자(CISO) 및 개인정보보호책임자(CPO)의 역할과 위상에서 아쉬움이 남는다. GS리테일의 경우, CISO는 센터장 직급이지만, 임원은 아니다. CPO는 본부장 직급의 임원이지만, 디지털전환(DX) 본부장을 겸하고 있다. CJ올리브영은 CISO가 CPO를 겸직하고 있다. 임원이 아닌 경우, 보안 조직의 영향력이 약화될 수 있다. 겸직을 하면 두 직무 간 이해 상충이 발생할 우려도 있다.
한편, 정보보호 공시는 정보보호산업법에 따라 일정 요건을 충족하는 기업에 의무가 주어진다. 기간통신사업자, 집적정보통신시설(IDC) 사업자, 상급종합병원, 클라우드서비스 제공자, 매출 3000억원 이상 상장사, 하루 평균 서비스 이용자 수 100만명 이상 등이 요건이다. 의무공시 제도는 2022년부터 시행됐다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.