카카오모빌리티 "보안 인력·활동 줄었지만"…투자 비중 5% 유지

IT 투자 축소 속 올해 비중 5.2% 회복…CISO·CPO 겸직, 전담인력 감소는 과제[사진=챗GPT 생성 이미지][디지털데일리 채성오기자] 카카오모빌리티의 최근 3개년 정보보호 공시는 '보안 투자 비중 방어'와 '전담 체계 축소'가 동시에 나타난 흐름으로 요약된다. 정보기술(IT) 투자액이 줄어든 가운데 정보보호 투자도 감소했지만, 전체 IT 투자 대비 비중은 5% 안팎을 유지했다.반면 정보보호 전담인력과 이용자 보호 활동 항목은 줄었고 지난해부터 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 동일 임원이 겸직하는 구조로 바뀐 점은 눈여겨볼 대목이다.26일 카카오모빌리티의 정보보호 공시에 따르면, 정보보호부문 투자액은 2024년 52억6324만원에서 지난해 39억9473만원으로 감소한 뒤 올해 41억493만원으로 소폭 반등했다. 올해 투자액은 2024년 대비 약 22% 감소한 수치다.같은 기간 IT 투자액도 948억6194만원에서 784억2542만원으로 줄어 약 17% 감소했다. 보안비용 자체는 축소됐지만 IT투자액 대비 정보보호 투자액 비율은 2024년 5.5%, 지난해 4.9%, 올해 5.2%로 5% 안팎을 유지했다. 올해는 IT 투자 감소에도 정보보호 투자액이 전년보다 늘면서 비중이 다시 올라섰다.인력 지표는 다소 엇갈린다. 총임직원은 2024년 939.3명에서 올해 927.5명으로 변화폭이 크지 않지만 IT부문 인력은 382.9명에서 350.6명으로 줄었다. 정보보호 전담인력은 2024년 15.6명, 지난해 15.9명으로 소폭 늘었다가 올해 13.1명으로 감소했다.IT부문 인력 대비 정보보호 인력 비율도 2024년 4.1%, 지난해 4.3%, 올해 3.7% 순으로 집계됐다. 특히 외주 정보보호 인력은 2024년 2.8명에서 올해 0.4명으로 줄어 외부 의존도가 낮아진 측면이 있지만 전담 총량 자체가 감소한 점은 이용자 위치·결제·이동 데이터를 다루는 모빌리티 플랫폼 특성상 부담으로 남을 수 있다.조직 체계 변화도 눈에 띈다. 2024년에는 CISO가 정보보호실장, CPO가 CR·준법부문장으로 분리돼 있었고 CISO 주요 활동 4건도 공시됐다.그러나 지난해와 올해는 정보보호실장이 CISO와 CPO를 함께 맡았고 주요 활동은 0건 또는 '-'로 기재됐다. 겸직 자체를 곧바로 문제로 단정할 수는 없지만, 개인정보보호와 정보보안 의사결정의 독립성·전문성을 어떻게 확보하고 있는지에 대한 설명은 상대적으로 부족해 보인다.긍정적인 대목도 있다. 카카오모빌리티는 3년 연속 ISMS-P와 ISO 27001 계열 인증을 유지했고 개인정보보호 손해배상책임보험, 전자금융거래 배상책임보험, 내부감사, 버그바운티, 보안 검수·진단, 재해복구 모의훈련, 시큐어코딩 교육 등을 지속했다.올해는 '시큐리티 & 프라이버시 어워즈'도 활동 항목에 새로 포함시켰다. 다만 활동 항목 수는 2024년 16건, 지난해 14건, 올해 13건으로 점차 줄었다.주목할 부분은 지난해 공시가 수정됐다는 점이다. 카카오모빌리티는 수정 사유서를 통해 "고객센터·콜센터 관련 일부 항목과 일부 수수료를 투자액에서 제외하고, 일부 직종 인력을 정보기술·정보보호 인력에 추가했다"고 밝혔다. 결과적으로 지난해 최종 공시는 당초 사전점검 수치보다 IT·정보보호 투자액이 낮아졌다. 이는 공시 기준을 정교화한 조치로 볼 수 있지만, 연도별 비교에서는 단순 증감보다 산정 기준 변화까지 함께 봐야 한다는 의미로 읽힌다.모빌리티업계 관계자는 "전체적으로 카카오모빌리티의 정보보호 현황은 투자 효율화 속 비중 유지로 정리된다"면서도 "다만 보안 투자 절대액은 지난해 대비 올해 증가했음에도 2년 전과 비교하면 감소했고 전담인력과 활동 항목 또한 동시에 줄어든 흐름은 플랫폼 신뢰와 이용자 데이터 보호 관점에서 추가 설명이 필요한 대목"이라고 분석했다.