한컴 첫 공시, 폴라리스오피스 2년 새 투자 76%↑…문서SW 보안도 ...

정보보호 자율공시로 본 오피스SW 보안 투자·인력 변화[사진=한컴·폴라리스오피스][디지털데일리 이안나기자] 생성형 인공지능(AI)과 클라우드 기반 문서 서비스가 확산되면서 오피스 소프트웨어(SW) 기업들의 정보보호 공시에도 무게가 실리고 있다. 과거 문서SW 보안이 개별 PC와 파일을 보호하는 데 초점이 맞춰졌다면, 최근에는 AI 연동 과정의 데이터 처리, 클라우드 접근통제, 데이터 주권, 서비스 연속성까지 관리 범위가 넓어지는 모습이다.2일 정보보호 공시 종합포털에 따르면 한컴은 올해 처음으로 정보보호 자율공시에 참여했다. 한컴이 공시한 지난해 정보보호부문 투자액은 8억7636만원으로, 정보기술(IT)부문 투자액 378억295만원 대비 2.3% 수준이다. 정보보호 전담인력은 내부 2.0명, 외주 1.8명 등 총 3.8명으로 공시됐다. 한컴은 ISMS, ISMS-P, ISO/IEC 27001, ISO/IEC 27701, CSAP 등 5종의 주요 정보보호 인증도 보유하고 있다.2019년부터 정보보호 자율공시를 이어온 폴라리스오피스는 투자와 인력 증가 흐름이 확인된다. 폴라리스오피스의 정보보호부문 투자액은 2023년 말 기준 2억2170만원에서 2025년 말 기준 3억9069만원으로 약 76% 늘었다. 같은 기간 정보보호 전담인력도 1.4명에서 3.2명으로 증가했다.한컴은 올해 첫 자율공시를 통해 AI·클라우드 사업 확대에 맞춘 보안 체계를 외부 공개했고 폴라리스오피스는 2019년부터 이어온 장기 공시를 통해 정보보호 투자와 전담인력 확대 흐름을 보여줬다.◆ 문서SW 보안, PC 보호 넘어 AI 데이터 통제로 확장한컴이 올해 처음 자율공시에 참여한 배경에는 AI·클라우드 사업 확대가 자리하고 있다. 한컴은 앞서 공식 홈페이지를 통해 AI 윤리강령과 정보보호·개인정보보호 강령을 공개한 데 이어 이번 자율공시를 통해 보안 투자 규모와 전문 인력 현황, 보안 인증 실적 등을 외부에 공개했다.한컴 관계자는 “이번 자율공시는 보안 투자 규모, 전문 인력 현황, 보안 인증 실적 등 핵심 지표를 투명하게 공개함으로써 한컴의 AX(AI 전환) 혁신을 지켜보는 고객과 시장의 신뢰를 공고히 하기 위한 것”이라고 말했다.특히 한컴은 클라우드 서비스와 에이전틱 OS 등 AI 기반 솔루션으로 사업 영역이 확장되면서 보안 체계도 전환되고 있다고 설명했다. 기존에는 사용자 PC와 파일을 보호하는 데 무게를 뒀다면 이제는 모든 접속 요청을 계속 확인하는 제로 트러스트 기반 데이터 보호 체계로 옮겨가고 있다는 것이다.한컴 공시 주석에도 이 같은 방향성이 반영돼 있다. 한컴은 고도화된 사이버 위협과 랜섬웨어 등에 따른 데이터 손상 및 서비스 중단을 주요 리스크로 식별하고 제로 트러스트 구축, 서비스 운영 안정성 제고, 보안인식 강화를 주요 과제로 추진 중이라고 밝혔다.정보보호 인프라 측면에서는 통합 로그인 체계와 접속 인증 강화, PC 등 단말의 이상 행위를 탐지·분석하는 EDR, 클라우드 협업 도구 환경에 맞춘 데이터 보호 정책, 침해 사고가 발생해도 피해 범위를 줄이기 위한 네트워크 세분화 기술 등을 적용하고 있다고 공시했다.고객 요구도 바뀌고 있다. 한컴은 최근 문서·오피스 서비스 고객들이 가장 중요하게 요구하는 보안 요소로 데이터 주권과 AI 학습 데이터 유출 방지를 꼽았다.한컴 관계자는 “하이브리드 근무의 일상화와 생성형 AI 확산으로 문서·오피스 서비스에서 데이터 주권과 AI 학습 데이터 유출 방지가 중요한 보안 요소로 떠올랐다”며 “내가 작성한 기밀문서나 개인정보가 대형 AI 모델 학습에 무단으로 활용되지 않을까 하는 우려가 커졌기 때문”이라고 말했다.이어 “문서 내 민감 정보의 안전한 비식별화 처리, AI 연동 과정에서의 철저한 데이터 격리와 유출 방지, 클라우드 환경에서도 일관된 권한 관리가 가능하도록 제품 설계 단계부터 보안을 반영하고 있다”고 덧붙였다.◆ 첫 공시 한컴, 장기공시 폴라리스…보안 공개 방식 달라한컴은 올해 정보보호 활동에서 기획·개발 단계부터 보안을 내재화하는 ‘시큐리티 바이 디자인(Security by Design)’과 글로벌 인증 체계 확립에 중점을 뒀다고 설명했다. 제품과 서비스를 만든 뒤 보안을 덧붙이는 방식이 아니라 설계 단계부터 데이터 보호와 접근통제 요소를 반영하겠다는 의미다.향후 투자는 AI를 위한 보안(Security for AI)과 AI를 활용한 보안(Security by AI)이라는 두 축에 맞춰 확대한다는 방침이다. AI 서비스에서 데이터 유출 우려를 줄이는 동시에 AI를 활용해 위협을 예측하고 대응하는 보안 체계도 단계적으로 구축하겠다는 설명이다.폴라리스오피스는 공시자료를 통해 지난해 주요 정보보호 투자 항목으로 보안솔루션, AWS 웹방화벽(WAF) 보안관제, 자료유출방지(DLP) 솔루션 도입 등을 제시했다. 웹방화벽은 웹서비스를 겨냥한 공격을 막는 보안 장비·서비스, DLP는 내부 문서나 중요정보가 외부로 빠져나가는 것을 탐지·차단하는 기술이다.폴라리스오피스는 공시 주석에서 “오피스 서비스 제공 과정에서 고객 개인정보와 서비스 관련 시스템 정보를 처리하고 있으며 해킹·랜섬웨어 등에 따른 개인정보 유출, 시스템 마비, 서비스 중단을 주요 정보보호 위협 요소로 인식하고 있다”고 설명했다.보안 인프라 측면에서는 사내 업무용 PC에 네트워크 접근제어(NAC), 백신, 자료유출방지 보안 프로그램을 적용하고 있으며 방화벽, 침입방지시스템(IPS), 웹방화벽 등을 통해 외부 위협에 대응하고 있다고 설명했다. 특히 웹방화벽은 24시간 보안 관제를 통해 상시 대응 체계를 운영 중이라고 공시했다.◆ 공시는 보안 수준 판정 아냐…투자·인력 흐름 보는 참고자료다만 두 회사의 정보보호 투자액과 인력 규모를 단순 비교하는 것은 적절하지 않다. 기업 규모와 사업 구조, 클라우드 운영 방식, 외부 보안 서비스 활용 비중이 다르기 때문이다.정보보호 공시는 기업 실제 보안 수준을 직접 판정하는 제도도 아니다. 폴라리스오피스는 올해 공시 사전점검확인서에서 “사전점검은 공시 내용이 기준에 맞게 작성됐는지를 확인하는 절차일 뿐 회사의 정보보호 수준 적정성을 판정하는 것은 아니다”라고 명시했다.그럼에도 공시 지표가 축적되면 기업별 정보보호 투자와 인력, 인증, 점검 활동의 방향성을 살펴보는 참고자료는 될 수 있다. 특히 문서 서비스는 업무보고서, 계약서, 개인정보, 연구자료 등 민감한 데이터를 다루는 경우가 많다. 여기에 생성형 AI 기능이 결합될수록 데이터가 어디에 저장되고 어떤 방식으로 외부 모델이나 클라우드 서비스와 연동되는지에 대한 고객 우려도 커질 수 있다.이런 점에서 한컴과 폴라리스오피스 정보보호 공시는 보안 수준을 직접 비교하기보다 문서SW 기업들이 AI·클라우드 전환 속에서 어떤 영역에 비용과 인력을 배치하고 있는지 보여주는 자료에 가깝다. 공시가 반복될수록 개별 기업 보안 투자 방향과 관리 체계 변화도 보다 구체적으로 확인될 것으로 보인다.
원문 보기 ↗