“세상엔 두 종류의 기업이 있다. 해킹을 당한 곳과, 아직 그 사실을 모르는 곳.” 세계적 보안업체 시스코의 진단이다. 완벽한 방어는 없으며 공격자는 결국 침투할 방법을 찾아낸다. 그래서 보안 전략의 근간은 기술이 아닌 프로세스에 있다. 조직 설계와 절차 개선, 꾸준한 투자가 끊임없이 순환하는 과정이다. 끝나지 않는 전쟁, 디지털 자산을 지키려는 기업들의 방패는 얼마나 견고할까. 더벨 SR(서치앤리서치)본부가 두드려봤다.
시스템통합(SI) 기업 삼성SDS는 정보보호 투자액과 비중 모두 국내 기업 톱티어 그룹에 속한다. 투자액은 정보기술(IT)과 통신사와 견주고 투자 비중은 국내가 아닌 글로벌 평균을 웃돈다. 매년 충분한 투자가 이뤄져 보안 부문에 안정성을 유지하고 있다.
의사결정 구조도 체계적으로 구축했다. SI 3사 중 유일하게 최고정보보호책임자(CISO)와 최고개인정보책임자(CPO)를 구분하고 부사장 2인에게 역할을 위임했다. 정기적인 회의를 개최하는 한편 해외 주요 법인에는 정보보안 전담 주재원을 파견한다.
◇정보보호 공시 참여 의무, 예산 및 현황은
삼성SDS는 정보보호 투자와 인력 비중을 고려할 때 국내 기업 중 상위권으로 분류할 수 있다. 한국인터넷진흥원(KISA) 공시에 따르면 삼성SDS의 지난해 정보보호 투자액은 약 651억5000만원으로 나타났다. 전체 정보기술 부문 투자액은 5530억8000만원이다. 전체 투자액 중 11.8%를 정보보호 부문에 배치했다.
출처=삼성SDS 지속가능경영보고서
이 수치는 정보기술(IR) 서비스 기업이라는 점을 감안해도 긍정적인 수준이다. 국내 773개 기업의 IT 투자액 대비 정보보호 투자액 비율인 6.29%를 크게 웃돈다. 전체 순위를 봐도 한손에 꼽힌다.
과학기술정통부가 지난해 말 발표한 '2024년 정보보호 공시 현황 분석 결과'에 따르면 삼성전자와 KT, 쿠팡에 이은 4위다. 올해 공시와 지난해 발표 자료 사이 1년의 차이가 있지만 정보보호 투자액이 전년대비 늘어 상위권을 유지했을 것으로 보인다. 통신사인 SK텔레콤과 비등한 금액을 투입했다. 매년 충분한 투자금을 투입하면서 2022년부터 3년 연속 과학기술정보통신부의 정보보호 투자 우수기업으로 선정됐다.
글로벌 지표에서도 뒤쳐지지 않는다. 보안 컨설팅 기관 IANS 리서치(IANS Research) 등이 올해 8월 발표한 보고서에 따르면 미국 기업들의 IT 지출에서 보안예산이 차지하는 비중은 10.9%로 나타났다. 유관 보고서 등을 종합하면 선진국 기업들의 IT 예산 대비 보안투자액 비중은 10~11%로 추산된다.
전담인력은 380.1명으로 집계됐다. 내부인력이 302.9명, 외주인력이 77.2명이다. 전체 정보기술부문 인력은 2766.4명으로 이중 정보보호부문 전담인력이 13.7% 수준이다.
매년 발간하는 지속가능경영보고서로도 정보보호 현황을 공개하고 있다. 공개하는 정보는 정보보호 부문 거버넌스 체계를 포함해 국내외 법인 보안 지원, 정보보호 정책과 인증서 보유 여부 등이다. 정보보호 공시에서 공개하는 정보기술 부문 인력 대비 정보보호 부문 인력의 비중 등을 함께 기재했다. 다만 예산편성 정보는 보고서에는 명시하지 않았다.
◇CISO·CPO 분리, 명확한 의사결정 체계
삼성SDS는 국내 SI 3사 중 유일하게 CISO와 CPO를 구분했다. 2025 지속가능경영보고서에 따르면 대표이사 직속 체제 아래 통합보안센터와 법무팀을 두고 각각의 수장을 CISO와 CPO로 분리했다.
3분기말 보고서를 참고하면 부사장 직위의 오영석 통합보안센터장이 CISO를, 역시 부사장인 권상대 법무팀장이 CPO를 담당한 것으로 보인다. 산하에 정보보호 위원회와 전사 정보보호부서, 사업부별 보안부서, 해외법인 보안주재원 등이 있다.
정기적인 회의를 시행하고 있다. CISO가 주관하는 정보보호 위원회는 정보보호 관련 조직 임원 등 관련 조직의 장이 참여한다. 연중 1회 이상 개최를 목표로 한다. 이밖에 전사 정보보호 부서가 주관하는 실무협의회도 격월로 진행한다.
해외 법인에는 보안 주재원을 파견하고 있다. 삼성SDS의 주요 해외 법인은 7곳이다. 삼성SDS는 "지난해에는 해외 법인 현장 점검 결과를 바탕으로 보안 수준을 측정해 거버넌스와 기반 기술 등 5개의 영역의 총 55개 보안 요소를 포함해 법인별 보안 로드맵을 도출했다"고 밝혔다.
◇'보안 고도화 시대' 기회 맞은 삼성SDS
삼성SDS는 보안 고도화 시대를 기회로 보고 있다. 솔루션 부문에서 보안 서비스 사업을 펴고 있다.
컨설팅과 솔루션, 서비스를 원스톱으로 지원한다. 삼성SDS는 20년 이상 축적한 관제 노하우로 'Follow-the-Sun' 체계를 운영하며 일평균 170억건 이상의 보안 이벤트와 660만건의 의심 로그를 분석한다고 설명했다.
지난달 30일 3분기 컨퍼런스콜에서 이정헌 전략마케팅실장 부사장은 "기업들이 보안을 강화하기 위해 투자에 적극적으로 나서는 중으로 삼성그룹의 금융 관계사에 먼저 개인정보 암호화 사업의 범위를 확대해 추진하고 있다"고 전했다.
이어 "통합 보안에 대한 기술과 서비스 개발에 상당한 연구개발 비용을 투자하는 한편 보안 관련 사업에도 더 적극적으로 임할 계획"이라고 밝혔다.
행동주의 개입 명분 만드는 역설
