국내 이커머스 업계가 정보보호에 투자하는 비중이 매출액 대비 1%에도 못미치는 것으로 드러났다. 특히 개인정보 유출 사태로 큰 충격을 안긴 쿠팡의 경우 매출액 대비 0.22%만 정보보안 투자로 이어지며 가장 낮은 수준에 머물렀다. 전문가들은 이커머스 기업들의 보안 투자 비중을 의무화 하고, 사고 발생시 최고경영자(CEO)에 직접 책임을 묻는 등 정보보호를 경영 최우선 순위에 둬야 한다고 강조했다.

14일 메트로미디어가 이커머스 기업들의 공시를 분석한 결과와 한국인터넷진흥원(KISA) 자료에 따르면 지난해 국내 공시기업의 IT 투자액 대비 정보보호 투자액 평균 비율은 6.29%로 집계됐다. 3년째 6%대 초반에 머물고 있는 수치다.

이 기준을 적용할 때 국내 이커머스 기업들의 성적표는 초라하다. 쿠팡은 지난해 정보보호에 890억 원이라는 압도적인 금액을 투자했다고 공시했지만, 이를 전체 IT 예산 대비 비중으로 환산하면 4.6%에 그친다. 이는 국내 기업 평균(6.29%)보다 1.6%포인트 이상 낮은 수치다.

네이버 역시 552억원을 투자했으나 IT 예산 대비 비중은 4.5%에 머물렀다. 11번가는 50억 원을 투자해 IT 예산 대비 6.9%를 기록하며 평균을 상회했으나, SSG닷컴은 40억원 투자가 전부였으며 비중 또한 3.1%에 불과해 평균의 절반 수준에 그쳤다. 막대한 금액을 투입하고도 "덩치에 비해 보안 투자가 소극적"이라는 비판이 나오는 이유다.

기업의 실제 규모를 보여주는 '매출액 대비 투자 비중'으로 범위를 좁히면 상황은 더욱 심각하다. 분석 결과 11번가 0.90%, 네이버 0.51%, SSG닷컴 0.30%로 나타났다. 특히 매출 38조2988억원을 기록한 쿠팡은 단 0.22%만이 정보보안 재투자로 이어지며 주요 이커머스 업체 중 가장 낮은 수준을 보였다.

이는 글로벌 권고 기준에 한참 미치지 못하는 수치다. 박춘식 아주대 사이버보안학과 교수는 "해외에서 기업들을 상대로 설문조사를 한 보고서들을 분석해보면 통상적으로 매출액의 0.5%는 정보보안에 투자해야 한다는 답변이 나온다"며 "IT 예산 대비 정보보호 투자 역시 최소 10%는 돼야 안전한 수준이라고 볼 수 있다"고 지적했다. 박 교수의 기준에 따르면 쿠팡과 SSG닷컴 등은 매출액과 IT 예산 비중 모두에서 낙제점인 셈이다. 이커머스 중 G마켓은 150억원을 투자한 가운데 매출액 대비 1.42%, IT 예산 대비 11%를 투자하며 유일하게 기준치를 넘겼다.

전문가들은 이처럼 저조한 투자의 원인으로 '법적 강제성 부재'를 꼽는다. 과거 금융권에는 '5·5·7 규정'이 존재했다. 이는 전체 인력의 5%를 IT 인력으로, IT 인력의 5%를 정보보호 인력으로, 전체 IT 예산의 7%를 정보보호 예산으로 사용하도록 권고한 전자금융감독규정이다. 2011년 농협 전산망 마비 사태 이후 정보보호 투자를 유도하기 위해 도입됐으나, 2020년 규정 효력이 만료되면서 현재는 강제성 없는 자율 공시 및 가이드라인으로 전환됐다.

해외 주요국이 강력한 법적 제재를 가하는 것과 대조적이다. 유럽연합(EU)은 'NIS2 지침'을 통해 공급망 보안을 의무화하고, 법 위반 시 CEO에게 직접 책임을 묻는다. GDPR(일반개인정보보호법)을 위반하면 전 세계 매출의 4%를 과징금으로 부과한다.

전문가들은 현재의 자율 공시 체계를 넘어선 법적 강제가 필요하다고 입을 모은다. 황석진 동국대 국제정보보호대학원 교수는 "단순한 권고를 넘어 전체 매출액에 연동한 과징금 제도(최대 3%)와 보안비 최소 비율 의무화가 필요하다"며 "투자 축소를 기업의 리스크로 전환하고, 사고 발생 시 CEO의 책임을 가중하는 등 정보보호를 경영 최우선 순위로 강제해야 한다"고 제언했다

정부도 뒤늦게 제도 개선에 나섰다. 개인정보보호위원회는 대규모 개인정보 처리자를 중심으로 2027년까지 정보보호 투자 비중을 IT 예산의 10%까지 의무화하고, 2030년에는 15%까지 확대하는 방안을 검토 중이다.