몸집 커지는 K-식품·뷰티, 정보보호 투자 성적은

전담 인력 절반 이상 '외주 의존' 공통 리스크이재현 CJ그룹 회장이 미국에서 열린 더 CJ컵을 방문했다. [사진=CJ그룹][디지털데일리 유채리 기자] 글로벌 시장에서 영토를 확장하며 대한민국 주요 산업군으로 떠오른 'K-푸드'와 'K-뷰티'가 외형 성장세와 달리 늘어나는 글로벌 타깃 해킹 리스크에 대한 대비는 미약하다는 지적이 나온다. 해외 자사 몰 확대와 글로벌 인지도 상승으로 사이버 위협의 표적이 될 가능성은 급증했으나, 이를 뒷받침할 정보보호 투자는 기업별로 온도 차를 보이고 있다.1일 한국인터넷진흥원(KSA) 정보보호 공시현황에 따르면 국내 뷰티 및 식품 산업을 이끄는 주요 12개 기업의 분석한 결과, 취약점을 가진 기업들이 확인됐다. 분석 대상 기업은 달바글로벌, 롯데웰푸드, 농심, 삼립, 삼양식품, 아모레퍼시픽, 에이피알, 오뚜기, 오리온, CJ제일제당, CJ올리브영, LG생활건강이다.정보보호부문 '절대 투자 규모'로만 보면 뷰티와 식품 대기업들이 전면에 나선다. 뷰티 업계에서는 아모레퍼시픽이 93억5907만원을 투입해 가장 컸고 LG생활건강이 77억1700만원으로 그 뒤를 이었다.식품 업계에서는 CJ제일제당이 69억3741만원을 기록해 투자 규모 1위를 차지했다. 반면 절대 규모 측면에선 에이피알(3억2151만원), 삼양식품(3억6050만원) 등의 수치가 낮게 나타났다.다만 전체 정보기술(IT) 투자액 대비 정보보호부문 투자액 비율을 따져보면 순위는 다소 뒤바뀐다. 식품 업계에서는 CJ제일제당이 8.9%로 단순 투자액 순위와 같이 1위를 차지했다. 이어 오뚜기가 7.9%, 롯데웰푸드가 7.6%로 상위권에 안착했다. 삼립(4.6%)과 오리온(4.3%)은 4%대로 중간 순위에 머물렀다.투자 비율에서 '라면 투톱'이 아쉬움을 남긴다. 농심의 투자 비율은 3.7%로 하위권이며, 삼양식품은 신규 전사적자원관리(ERP) 시스템 도입으로 IT 투자 덩치는 커졌지만, 정보보호투자 비율은 2.5%에 불과했다.뷰티업계에서는 달바 글로벌의 투자 비율이 35.9%로 1등을 차지했다. LG생활건강(10.4%)과 아모레퍼시픽(6.7%)이 뒤를 이었다. 에이피알은 5.4% 수준으로 분석됐다.특히 올해부터 정보통신망법상 기업 규모 및 이용자 기준을 충족해 '의무 공시 대상'으로 신규 전환된 CJ올리브영의 투자 비율은 4.3%에 그쳐 뷰티 섹터 내 꼴찌를 기록했다. 올리브영의 IT부문 투자액은 1263억인데 반면 정보보호부문 투자액은 약 54억원에 머물렀다.[사진=농심]K-식품과 뷰티 기업들의 공통 리스크는 실질적인 보안 컨트롤타워 역할을 해야 할 '전담 인력'의 기형적 구조에 있다. 분석 대상 대다수 기업이 전체 전담 인력의 절반 가량을 외주 인력에 의존하고 있었다.특히 LG생활건강(27.7명 중 외주 16.5명), 아모레퍼시픽(33.3명 중 외주 19.6명), CJ제일제당(41.6명 중 외주 21.3명), 오뚜기 (4.5명 중 외주 2.5명)는 모두 내부 직원보다 외주 인력이 더 많았다.특히 농심은 정보보호 전담 인력이 2.9명이라고 공시했으나 이 중 내부 인력은 0명으로 모두 외주인력이다. 외주인력 비중이 큰 경우, 침해 사고 발생 시 책임 있는 내부 통제력과 관리 연속성에 공백이 생길 수 있다는 지적이다.올해 자산 5조원을 돌파하며 공정거래위원회의 공시대상기업집단으로 신규 지정된 오리온은 정보보호 투자 부문에서 다소 부족한 모습을 보였다. 정보기술부문 투자액은 87억6697만원인데 반해 정보보호부문 투자액은 3억7625만원(4.3%)다. 전체 정보보호 전담 인력은 1.5명(내부 1.0명, 외주 0.5명)에 그쳤다.보안 거버넌스 측면에서도 개선 과제를 드러냈다. 뷰티 섹터의 경우, LG생활건강과 아모레퍼시픽, CJ올리브영 모두 전문 조직인 '정보보안센터장' 직책의 임원급 인사를 정보보호최고책임자(CISO) 및 개인정보보호책임자(CPO)로 전면 배치해 사내 보안 목소리에 힘을 실었다. 다만 두 곳 모두 CISO가 CPO를 겸직하는 구조다. 에이피알 역시 본부장급 임원이 직을 수행 중이다.반면 식품 섹터는 일부 상위권을 제외하고는 거버넌스에서 보완점이 발견됐다. 롯데웰푸드는 부문장급 임원이 CISO와 CPO를 겸직하고 있다. 삼립은 경영기획실장이 임원 직급으로 CISO를 겸직하고 있다. 더욱이 CPO의 경우, 경영기획실장, 품질경영실장, 마케팅전략실장, 이커머스사업부장, 안전보건경영실장이 겸직하고 있는 가운데 주요 활동은 0건인 점이 아쉬움을 드러냈다.최근 식품·뷰티 부문은 K-문화의 인기에 따라 함께 주목받고 있다. 이에 해외 매출 비중을 높이기 위해 글로벌 자사몰 확대 등을 진행하고 있다. 이는 글로벌 해킹 범죄의 타깃이 될 가능성을 높인다는 우려로 이어진다. 업계 안팎에서는 이들이 글로벌 주류 기업으로 안착하기 위해서는 외형 규모에 걸맞은 글로벌 정보보호 표준을 확립하는 것이 필요하다는 지적도 나온다.
원문 보기 ↗