"삼성물산 36명, 태영은 1명"…건설사 보안역량 '극과 극'

[아이뉴스24 김민지 기자] 한 통신사의 유심해킹 사태를 계기로 기업 보안 역량에 대한 관심이 높아진 가운데 주요 건설사들 정보보호 투자와 조직운영 수준에 상당한 격차가 나타났다. 투자 규모뿐 아니라 전담인력과 최고정보보호책임자(CISO) 위상, 인증체 등에서도 차이를 보였다.

19일 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 주요 건설사들은 최근 디지털 전환 확대에 맞춰 정보보호 투자를 늘리고 있다. 다만 투자 규모와 조직 역량은 기업별로 큰 차이를 보였다.

가장 적극적인 곳은 삼성물산이다. 삼성물산은 지난해 정보보호부문에 146억원을 투자했다. IT투자액 1916억원의 7.6% 수준이다. 최근 3년간 투자액도 127억원, 136억원, 146억원으로 꾸준히 증가했다.

롯데건설은 지난해 정보보호 투자액이 19억4100만원으로 전년 11억2600만원 대비 약 72% 늘었다. 정보보호 투자비중도 5.0%에서 8.5%로 상승했다.

IPARK현대산업개발은 2023년 2억4400만원이던 정보보호 투자액을 2024년 15억7800만원까지 확대했다. 지난해에는 11억7600만원으로 다소 줄었지만 투자비중은 9% 안팎을 유지했다.

반면 태영건설은 워크아웃 이후 비용절감 기조가 이어지면서 정보보호 투자액도 감소했다. 지난해 투자액은 2억2900만원으로 전년 2억4500만원 보다 줄었다.

정보보호 전담인력 규모에서는 기업간 차이가 더욱 두드러졌다.

삼성물산 정보보호 전담인력은 지난해 36.6명으로 조사대상 기업 가운데 가장 많았다. 2023년 32.6명에서 꾸준히 증가하는 추세다. 반도체공장, 데이터센터, 스마트빌딩 등 디지털 기술이 접목된 대형프로젝트 확대에 대응하기 위한 것으로 풀이된다.

롯데건설은 같은기간 5.9명에서 6.7명, 7.4명으로 점진적으로 증가했고 IPARK현대산업개발은 2023년 1.8명에서 2024년 6명으로 늘었지만 지난해 5명으로 소폭 줄었다.

반면 태영건설 전담인력은 1명에 불과했다. 워크아웃 이후 조직 효율화 과정에서 보안 역량이 후순위로 밀린 것 아니냐는 분석이다.

한 보안업체 관계자는"보안 시스템을 구축하는 것보다 중요한 것은 이를 운영하고 사고에 대응할 전문인력"이라며 "전담조직과 인력 규모는 기업의 보안 성숙도를 보여주는 대표적인 지표"라고 설명했다.

정보보호 거버넌스 측면에서도 기업별 온도차가 확인됐다. 투자 규모가 수십억원대에 달하더라도 이를 결정하고 집행할 '최고정보보호책임자(CISO)'의 독립성과 권한이 보장되지 않으면 '보여주기식 보안'에 그칠 수 있다.

삼성물산은 임원급 정보보호팀장이 CISO를 맡아 전사적인 보안전략을 진두지휘하고 있다. 반면 롯데건설은 비임원급 정보보호부문장이, IPARK현대산업개발과 태영건설은 CISO와 개인정보보호책임자(CPO)를 동일인물이 겸직하고 있다.

보안업계 관계자는 "CISO가 경영진 의사결정 과정에 직접 참여할 수 있는지 여부가 실제 해킹 방어율을 결정짓는다"고 강조했다.

정보보호 인증(ISMS) 체계에서도 온도차가 뚜렷했다. 정보보호 인증은 기업이 개인정보 관리와 해킹대응 체계, 내부보안 정책 등을 일정 수준 이상 갖추고 있는지 외부기관이 검증하는 제도다.

삼성물산은 건설·상사부문에서 ISMS 인증을, 패션·리조트부문에서는 ISMS-P 인증을 유지하고 있다. 롯데건설도 분양·임대시스템과 플랜트 IT시스템에 대해 관련 인증을 보유하고 있다. IPARK현대산업개발은 국제 정보보호 관리체계 인증인 ISO27001을 유지 중이다.

반면 태영건설은 정보보호 관련 인증을 별도로 공시하지 않았다.

보안업체 관계자는 "인증 보유 여부만으로 실제 보안 수준을 단정할 수는 없다" 면서도 "다만 외부 검증을 거쳐 보안 관리 체계를 운영하고 있는지 확인할 수 있는 지표라는 점에서 기업의 정보보호 투자 의지와 관리 수준을 가늠하는 기준"이라고 설명했다.

업계에서는 건설사들의 디지털 전환이 빨라질수록 정보보호 역량의 중요성도 커질 것으로 보고 있다.

한 건설업계 관계자는 "과거 건설사는 제조업 중심 사업구조로 인해 정보보호 중요성이 상대적으로 낮게 평가됐지만 최근에는 분양 플랫폼, 스마트홈, 클라우드 시스템 활용이 늘면서 보안이 경영 리스크로 부상하고 있다"며 "투자 규모뿐 아니라 조직과 인력, CISO 권한, 인증체계 등을 종합적으로 평가할 필요가 있다"고 말했다.