이 기사는 2025년 10월 31일 08:18 thebell 에 표출된 기사입니다.

카카오는 네이버, 쿠팡 등 국내 주요 플랫폼 기업 3곳 가운데 정보보호 투자와 인력 규모가 가장 적다. 다른 두 기업은 투자 및 인력 규모 순위에서 10위권에 들었지만 카카오는 그러지 못했다. 이사회 내부에 정보보호 및 보안 분야 경력 및 전문성을 보유한 인물이 없다는 점 역시 아쉬운 대목이다.

지난해 투자 규모가 증가세로 돌아선 점, 실무진을 중심으로 정보보호위원회를 운영하는 점 등은 긍정적인 부분으로 평가된다.

◇카카오, 정보보호 투자 및 인력 아쉬워

한국인터넷진흥원(KISA) 공시에 따르면 2024년 기준 카카오의 정보보호 투자 규모는 247억원이다. 전체 정보기술(IT) 부문 투자액 7079억원 가운데 3.5%를 정보보호에 투입했다.

IT 투자 규모는 2022년 5495억원, 2023년 6630억원, 2024년 7079억원으로 꾸준히 우상향 곡선을 그린데 반해 정보보호 투자는 2022년 209억원, 2023년 256억원으로 증가하다 지난해 247억원으로 소폭 감소했다. 보안/IT 투자 비중은 2022년 3.8%, 2023년 3.9%로 올랐다 2024년 3.5%로 낮아졌다.


2024년 기준 카카오의 정보보호 부문 전담인력은 91.3명(내부 72.9명, 외주 18.4명)이다. 2022년 102.7명(2022년 내부 72.5명, 외주 30.2명), 2023년 90.9명(내부 71.7명, 외주 19.2명)으로 감소세였던 흐름이 반등했다. 보안/IT 인력 비중 역시 2022년 3.6%에서 2023년 2.8%로 줄었다가 2024년 2.9%로 소폭 상승했다.

700여개 공시대상 기업들의 정보보호/IT 투자 비율은 사업년도 기준으로 2022년 6.11%, 2023년 6.05%, 2024년 6.29%다. 정보보호/IT 인력 비중은 2022년 6.26%, 2023년 6.19%, 2024년 6.71%를 기록했다. 카카오 측은 해당 수치가 낮은 배경으로 IT기업인 만큼 정보기술의 투자 비율이 높다는 점을 들었다.

IT투자 비율이 높은 플랫폼사업을 영위하는 주요 기업들과 비교해 보더라도 카카오의 정보보호 투자 규모는 부족한 편이다. 지난해 쿠팡은 861억원, 네이버는 553억원을 각각 정보보호에 투자했다. 두 회사는 2021년 이후 매년 정보보호 투자 규모를 늘려왔다. 정보보호 전담인력 역시 마찬가지다. 지난해 기준 쿠팡(214.8명), 네이버(130.8명), 카카오(91.3명) 순이다.

게다가 쿠팡과 네이버는 각각 지난해 정보보호 투자 규모에서 각각 공시기업 3위, 10위에 올랐다. 인력 순위에서 쿠팡은 5위, 카카오는 9위를 기록했다.


2023년까지 카카오의 정보보호 투자액 증가폭은 큰 편이었다. 재작년 기준 정보보호 투자 증가액 47억원으로 상위기업 순위 10위에 올랐다. 해당 순위에서는 삼성전자(539억원), 현대오토에버(198억원), LG유플러스(190억원), KT(183억원), 삼성SDS(102억원), 엘지에너지솔루션(65억원), 카카오엔터프라이즈(61억원), 한화에어로스페이스(56억원), SK텔레콤(50억원)가 상위 1~9위에 올랐다.

카카오는 지난해 임직원 전원 대상의 정기 보안교육 및 모의 훈련 제도를 확대했다. 신규 입사자는 입문 교육 과정에서 개인정보보호 및 정보보안 교육을 이수해야 하며 이후 연 1회 이상 사이버보안·피싱 대응 모의훈련을 시행하고 있다. 2024년에는 카카오 계열 전체 임직원의 98%가 보안 교육을 이수했다.

이 밖에도 AI·클라우드 등 신기술 보안 검증 프로세스를 도입해 서비스 출시 전 단계에서 보안 위험을 사전 진단하고 보안 내재화 원칙을 강조하고 있다. 카카오는 2024년 기준 그룹 전체에서 2300여 건의 시스템 접근권한 점검을 실시했으며 개인정보 오남용 방지를 위한 자동 탐지 시스템을 고도화했다.

◇이사회 보안 전문가 부재

카카오 이사회에서는 ESG위원회가 정보보안 핵심사안 관리감독을 담당하고 있다. 이사회 밖, 회사 내부적으로는 따로 실무진들이 정보보호위원회도 운용하고 있다. 이 위원회에는 CISO가 위원장을 맡고 관련 부서의 임원과 부서장 등이 참여하고 있다.

카카오의 최고개인정보보호책임자(CPO)는 김연지 개인정보 성과리더다. 연세대 컴퓨터공학과를 졸업한 그는 2000년 다음커뮤니케이션에 입사해 이후 카카오까지 약 20년 이상 재직하며 개인정보 보호 분야에서 경력을 쌓아왔다.

이희국 최고정보보호책임자(CISO)는 외부에서 영입된 보안 전문가로 공주대 전자계산학과 석사 출신이다. 엔비즈테크놀로지, 사이텍소프트, 소프트캠프, 네이버 등에서 기업 보안 업무를 수행한 이력을 갖고 있다. 2019년 카카오의 CISO로 선임되어 현재까지 보안 거버넌스 체계의 중심에 있다.

이들은 이사회 소속이 아니다. 카카오 ESG보고서에 기재된 이사회 역량 구성표(BSM)에 따르면 이사회 구성원 가운데 정신아 대표와 최세정 사외이사, 박새롬 사외이사가 디지털/기술/보안 분야의 경험과 전문성을 보유하고 있다. 이들이 보안 관련 전문성을 보유하고 있다고 보기는 힘들다.

정신아 대표는 연세대 경영학과와 미시간대 MBA를 마치고 보스턴컨설팅 그룹 등에서 근무했던 경영 전문가다. 최세정 사외이사는 한국미디어경영학회 회장, 한국광고학회 회장 등을 역임하고 현재 고려대학교 미디어학부 교수로 재직하고 있다.

박새롬 사외이사는 서울대 산업공학 박사 출신이다. 카카오는 그에 대해 "UNIST 산업공학과 교수로서 회사가 추진하는 제반 사업에 대한 높은 이해를 바탕으로 이사회의 다양성을 높이고 기업가치를 제고할 수 있는 방향으로 경영진에게 조언하는 역할을 수행할 것으로 판단한다"고 설명했다.

카카오 관계자는 "정보보호에 대한 중요성을 인식하고 있으며 서비스 개발 단계부터 운영에 이르기까지 전 과정에서 보안 취약점 식별 및 개선 활동을 정례화하고 있다"며 "보안 모니터링 체계도 고도화하고 있으며 전사 보안 교육 확대, 모의훈련 정례화 등 정량 지표 외 실질적 보안 역량 강화를 지속하고 있다"고 설명했다.