국내에서 대규모 서비스를 운영하며 막대한 수익을 올리는 글로벌 IT 기업들이 한국의 법적 의무 사항인 정보보호 공시를 성실히 이행하지 않고 있는 것으로 나타났습니다. 16일 정보기술(IT) 업계와 관련 자료에 따르면, 상당수 외국계 빅테크 기업들이 제출한 정보보호 공시 현황에서 핵심 수치를 누락하는 이른바 ‘빈칸 공시’나 전년도 자료를 그대로 옮겨 적는 ‘복사 붙여넣기’ 행태가 발견되었습니다. 이는 한국 사용자의 소중한 개인정보와 데이터를 보호하기 위한 최소한의 투명성 확보 장치를 무력화하고 있다는 지적으로 이어지고 있습니다. 특히 2026년 현재 이재명 정부가 추진하는 디지털 주권 강화 정책 기조 속에서도 이러한 빅테크들의 ‘깜깜이’ 대응은 제도적 허점을 고스란히 드러내고 있다는 평가입니다.

정보보호 공시 제도는 기업이 정보보호에 얼마나 많은 인력을 배치하고 있는지, 그리고 보안 강화를 위해 예산을 얼마나 쓰고 있는지 등을 일반 대중에게 공개하도록 강제하는 제도입니다. 중학생 여러분도 학교에서 성적표를 받듯이, 기업도 보안에 대해 얼마나 노력했는지 성적표를 공개해야 하는 것이죠. 하지만 글로벌 빅테크들은 본사의 정책이나 영업비밀이라는 이유를 들어 정작 중요한 숫자들을 적어내지 않고 있습니다. 한 보안 업계 전문가는 "글로벌 본사 차원에서 예산을 관리하기 때문에 한국 지사만의 투자액을 산출하기 어렵다는 변명을 수년째 반복하고 있다"고 꼬집었습니다.

실제로 공개된 공시 자료를 살펴보면 문제는 더욱 심각합니다. 일부 기업은 정보보호 투자액이나 인력 현황 항목에 아예 ‘0’이나 ‘해당 없음’으로 기재하고 있습니다. 한국에서 매년 수조 원의 매출을 올리는 서비스임에도 보안에 투자하는 금액이 한 푼도 없다는 식의 답변은 현실적으로 납득하기 어렵다는 것이 전문가들의 공통된 의견입니다. 또한 지난해 제출했던 보고서의 문구와 수치를 토씨 하나 틀리지 않고 그대로 재사용하는 사례도 빈번하게 포착되었습니다. 이는 기업이 보안 환경 변화에 따라 투자를 늘리거나 조직을 정비하려는 의지가 부족하다는 방증으로 해석될 수 있습니다.

전문가들은 이러한 부실 공시가 국내 보안 시장에 미치는 악영향이 크다고 우려합니다. 공시의 목적은 기업 간 선의의 경쟁을 유도하여 전반적인 보안 수준을 높이는 데 있습니다. 하지만 시장 지배력이 큰 빅테크들이 정보를 숨기면, 중소 IT 기업들만 규제 부담을 떠안는 결과가 발생하게 됩니다. 한 시민단체 관계자는 "사용자들은 본인이 사용하는 서비스가 안전한지 알 권리가 있다"며 "빅테크들이 정보를 공개하지 않는 것은 한국 사용자를 기만하는 행위와 다름없다"고 강하게 비판했습니다. 여기서 한 가지 생각해볼 점은, 왜 유독 한국에서만 이런 부실 공시가 계속되느냐는 점입니다.

국내 대표적인 플랫폼 기업인 네이버나 카카오 등은 정보보호 공시 의무를 비교적 충실히 이행하고 있는 것으로 나타났습니다. 이들 기업은 정보보호 투자액과 전담 인력 비중, 그리고 국내외 보안 인증 획득 현황을 상세히 공개하여 사용자의 신뢰를 얻으려 노력하고 있습니다. 반면 글로벌 빅테크들은 거대 자본과 기술력을 보유하고 있음에도 불구하고, 한국 내 규제를 요리조리 피하는 모습을 보이고 있습니다. 이는 국내 기업들 사이에서 "법을 지키는 사람만 손해"라는 불만을 야기하며 '역차별' 논란을 가속화하고 있습니다.

실제로 현행 정보보호산업진흥법에 따르면, 공시 의무를 위반할 경우 과태료가 부과되지만 그 금액이 빅테크들의 매출 규모에 비하면 미미한 수준입니다. 이러한 솜방망이 처벌이 빅테크들이 당당하게 ‘빈칸’을 제출하게 만드는 근본 원인 중 하나로 꼽힙니다. 한 경제 연구소 위원은 "벌금을 내는 것이 상세한 보안 정보를 공개하는 것보다 비용 면에서 유리하다고 판단했을 가능성이 크다"고 분석했습니다. 국내 기업들은 엄격한 잣대를 적용받으면서 정작 영향력이 더 큰 외산 서비스들은 사각지대에 놓여 있는 ‘기울어진 운동장’ 상황이 지속되고 있는 셈입니다.

문제는 여기서 그치지 않습니다. 빅테크들이 제출한 ‘부실 공시’에 대해 감독 당국이 제재를 가하려고 해도 법리적인 해석이 엇갈리는 경우가 많습니다. 기업 측에서는 "우리는 자료를 제출했으므로 공시 의무를 이행했다"고 주장하며, 단지 내용이 미흡할 뿐이지 의무를 저버린 것은 아니라는 논리를 폅니다. 사실상 법의 취지를 교묘하게 이용하고 있는 것이죠. 특히 최근 이시바 시게루 총리 취임 이후 일본에서도 글로벌 빅테크의 규제 논의가 활발해지는 등 국제적인 움직임이 있지만, 한국 내에서는 여전히 실질적인 제어 수단이 부족하다는 평이 지배적입니다.

이러한 행태가 지속될 경우 가장 큰 피해를 입는 것은 결국 한국의 사용자들입니다. 보안 사고가 발생했을 때 기업이 그동안 얼마나 투자해왔고 어떤 체계로 관리해왔는지가 투명하게 공개되어 있어야 사고의 원인을 규명하고 책임을 물을 수 있습니다. 하지만 지금처럼 정보가 불투명하면 사고 예방은 물론 사후 대처에도 구멍이 생길 수밖에 없습니다. 관계 부처는 이번 사안의 심각성을 인지하고 실태 점검에 나설 것으로 보이지만, 글로벌 기업들의 고질적인 ‘본사 핑계’를 돌파할 수 있는 강력한 대책이 마련될지는 미지수입니다.

국내에서 대규모 서비스를 운영하며 막대한 수익을 올리는 글로벌 IT 기업들이 한국의 법적 의무 사항인 정보보호 공시를 성실히 이행하지 않고 있는 것으로 나타났습니다. 16일 정보기술(IT) 업계와 관련 자료에 따르면, 상당수 외국계 빅테크 기업들이 제출한 정보보호 공시 현황에서 핵심 수치를 누락하는 이른바 ‘빈칸 공시’나 전년도 자료를 그대로 옮겨 적는 ‘복사 붙여넣기’ 행태가 발견되었습니다. 이는 한국 사용자의 소중한 개인정보와 데이터를 보호하기 위한 최소한의 투명성 확보 장치를 무력화하고 있다는 지적으로 이어지고 있습니다. 특히 2026년 현재 이재명 정부가 추진하는 디지털 주권 강화 정책 기조 속에서도 이러한 빅테크들의 ‘깜깜이’ 대응은 제도적 허점을 고스란히 드러내고 있다는 평가입니다.

정보보호 공시 제도는 기업이 정보보호에 얼마나 많은 인력을 배치하고 있는지, 그리고 보안 강화를 위해 예산을 얼마나 쓰고 있는지 등을 일반 대중에게 공개하도록 강제하는 제도입니다. 중학생 여러분도 학교에서 성적표를 받듯이, 기업도 보안에 대해 얼마나 노력했는지 성적표를 공개해야 하는 것이죠. 하지만 글로벌 빅테크들은 본사의 정책이나 영업비밀이라는 이유를 들어 정작 중요한 숫자들을 적어내지 않고 있습니다. 한 보안 업계 전문가는 "글로벌 본사 차원에서 예산을 관리하기 때문에 한국 지사만의 투자액을 산출하기 어렵다는 변명을 수년째 반복하고 있다"고 꼬집었습니다.

실제로 공개된 공시 자료를 살펴보면 문제는 더욱 심각합니다. 일부 기업은 정보보호 투자액이나 인력 현황 항목에 아예 ‘0’이나 ‘해당 없음’으로 기재하고 있습니다. 한국에서 매년 수조 원의 매출을 올리는 서비스임에도 보안에 투자하는 금액이 한 푼도 없다는 식의 답변은 현실적으로 납득하기 어렵다는 것이 전문가들의 공통된 의견입니다. 또한 지난해 제출했던 보고서의 문구와 수치를 토씨 하나 틀리지 않고 그대로 재사용하는 사례도 빈번하게 포착되었습니다. 이는 기업이 보안 환경 변화에 따라 투자를 늘리거나 조직을 정비하려는 의지가 부족하다는 방증으로 해석될 수 있습니다.

전문가들은 이러한 부실 공시가 국내 보안 시장에 미치는 악영향이 크다고 우려합니다. 공시의 목적은 기업 간 선의의 경쟁을 유도하여 전반적인 보안 수준을 높이는 데 있습니다. 하지만 시장 지배력이 큰 빅테크들이 정보를 숨기면, 중소 IT 기업들만 규제 부담을 떠안는 결과가 발생하게 됩니다. 한 시민단체 관계자는 "사용자들은 본인이 사용하는 서비스가 안전한지 알 권리가 있다"며 "빅테크들이 정보를 공개하지 않는 것은 한국 사용자를 기만하는 행위와 다름없다"고 강하게 비판했습니다. 여기서 한 가지 생각해볼 점은, 왜 유독 한국에서만 이런 부실 공시가 계속되느냐는 점입니다.

국내 대표적인 플랫폼 기업인 네이버나 카카오 등은 정보보호 공시 의무를 비교적 충실히 이행하고 있는 것으로 나타났습니다. 이들 기업은 정보보호 투자액과 전담 인력 비중, 그리고 국내외 보안 인증 획득 현황을 상세히 공개하여 사용자의 신뢰를 얻으려 노력하고 있습니다. 반면 글로벌 빅테크들은 거대 자본과 기술력을 보유하고 있음에도 불구하고, 한국 내 규제를 요리조리 피하는 모습을 보이고 있습니다. 이는 국내 기업들 사이에서 "법을 지키는 사람만 손해"라는 불만을 야기하며 '역차별' 논란을 가속화하고 있습니다.

실제로 현행 정보보호산업진흥법에 따르면, 공시 의무를 위반할 경우 과태료가 부과되지만 그 금액이 빅테크들의 매출 규모에 비하면 미미한 수준입니다. 이러한 솜방망이 처벌이 빅테크들이 당당하게 ‘빈칸’을 제출하게 만드는 근본 원인 중 하나로 꼽힙니다. 한 경제 연구소 위원은 "벌금을 내는 것이 상세한 보안 정보를 공개하는 것보다 비용 면에서 유리하다고 판단했을 가능성이 크다"고 분석했습니다. 국내 기업들은 엄격한 잣대를 적용받으면서 정작 영향력이 더 큰 외산 서비스들은 사각지대에 놓여 있는 ‘기울어진 운동장’ 상황이 지속되고 있는 셈입니다.

문제는 여기서 그치지 않습니다. 빅테크들이 제출한 ‘부실 공시’에 대해 감독 당국이 제재를 가하려고 해도 법리적인 해석이 엇갈리는 경우가 많습니다. 기업 측에서는 "우리는 자료를 제출했으므로 공시 의무를 이행했다"고 주장하며, 단지 내용이 미흡할 뿐이지 의무를 저버린 것은 아니라는 논리를 폅니다. 사실상 법의 취지를 교묘하게 이용하고 있는 것이죠. 특히 최근 이시바 시게루 총리 취임 이후 일본에서도 글로벌 빅테크의 규제 논의가 활발해지는 등 국제적인 움직임이 있지만, 한국 내에서는 여전히 실질적인 제어 수단이 부족하다는 평이 지배적입니다.

이러한 행태가 지속될 경우 가장 큰 피해를 입는 것은 결국 한국의 사용자들입니다. 보안 사고가 발생했을 때 기업이 그동안 얼마나 투자해왔고 어떤 체계로 관리해왔는지가 투명하게 공개되어 있어야 사고의 원인을 규명하고 책임을 물을 수 있습니다. 하지만 지금처럼 정보가 불투명하면 사고 예방은 물론 사후 대처에도 구멍이 생길 수밖에 없습니다. 관계 부처는 이번 사안의 심각성을 인지하고 실태 점검에 나설 것으로 보이지만, 글로벌 기업들의 고질적인 ‘본사 핑계’를 돌파할 수 있는 강력한 대책이 마련될지는 미지수입니다.