영업비밀 이유로…통신사 정보보호 투자 항목별 금액 여전히 ‘깜깜이’

통신사 해킹 사태가 국민 불안을 가중시키는 가운데, 현행 정보보호 공시제도가 사실상 유명무실하다는 지적이 제기됐다.

9일 더불어민주당 박상혁 의원실이 과학기술정보통신부 및 국내 4개 통신사(SK텔레콤, KT, LG유플러스, SK브로드밴드) 자료를 분석한 결과 이들 기업은 정보보호 투자 항목별 금액을 영업 비밀을 이유로 비공개하고 있는 것으로 드러났다. 현행법상 정보보호 공시는 매년 정보기술부문 투자액과 정보보호부문 투자액을 공시하도록 한다. 그러나 통신사들은 정보보호 부문 투자 항목별 금액을 공개하지 않고, 국회 요청에도 자료 제출을 거부하고 있다. 주무부처인 과기부조차 해당 자료를 확보하고 있지 않아 통신사들의 정보보호 투자 규모를 상세히 확인할 길이 없는 것이다.

KT와 LG유플러스는 2024년도 공시에서 정보보호 부문 관련 유·무형 자산 당기 감가상각비만 별도로 공개했다. 신규 투자와 무관한 감가상각비는 KT는 전체 정보보호부문 투자액의 44.3%, LG유플러스는 30.3%를 차지했다. SK텔레콤은 이마저도 공개하지 않았다.

정보보호최고책임자(CISO) 지정 관련 규정도 사실상 위반하고 있는 것으로 나타났다. 정보통신망법 시행령은 CISO를 상법상 이사 또는 집행임원으로 지정하도록 규정하고 있다. 그러나 SK텔레콤, KT, LG유플러스 모두 임원이 아닌 사람을 CISO로 지정하고 있다가 올해 초 SK텔레콤의 해킹 사고 이후 부랴부랴 임원으로 승진시킨 것으로 드러났다.

박 의원은 “통신사·금융기관 해킹사고로 여기저기서 정보보호투자 확대를 외치고 있지만, 실제로 제대로 된 투자를 하고 있는지 확인하기 위해선 세부항목별 공개가 필수”라고 지적했다.