이 기사는 2025년 11월 05일 08:08 thebell 에 표출된 기사입니다.

네이버가 외부 투자보다 기술 내재화 중심으로 정보보안 체계를 강화하고 있다. 정보보호 투자액과 인력 비중의 절대 규모는 작지만 이는 일부 착시 효과가 반영돼 있다는 설명이다. 외부 솔루션 투자보다 자체 개발한 보안 기술과 버그바운티 프로그램 등을 바탕으로 역량을 끌어올리고 있다.

네이버의 개인정보와 정보보안은 이진규 리더를 중심으로 꾸려져 있다. 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 겸직하고 있다. 이사회와 CEO 직속 조직 간 협업 구조를 바탕으로 네이버 정보보안 거버넌스를 구축했다.

◇이사회 중심 '정보보안', CISO·CPO 겸직 체제

네이버의 정보보안 최상의 지배 조직은 이사회 내 리스크관리 위원회다. 이는 정보보호최고책임자(CISO)로도 이어진다. 이사회 내 리스크관리위원회가 최상위 감독기구 역할을 맡고 CISO 등이 보고한 주요 현안을 검토하고 핵심 사안은 주요 의사결정에 반영되고 있다.

CEO 직속의 프라이버시보호위원회도 운영된다. 내부적으로 전사 차원의 개인정보 리스크를 다각도로 논의한다. 네이버 정보보안의 두 축인 정보보안과 개인정보보호의 구심점은 이진규 리더다. 그는 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 겸직하고 있다.


한국인터넷진흥원(KISA) 공시에 따르면 네이버의 2024년 정보보호 투자액은 553억원을 기록했다. 정보기술(IT) 투자액인 1조2363억원 중 4.5%를 차지하는 수치다. 이는 공시 대상 기업 평균치인 6.71%를 소폭 밑돌고 있다.

특히 정보기술 투자 금액은 최근 3년 간 매년 늘어나고 있지만 정보보호가 차지하는 비중은 4%대에 머물러 있다. 네이버 정보기술 투자액은 2022년 1조946억원, 2023년 1조1364억원, 2024년 1조2363억원으로 매년 증가했다.

전반적인 인력 규모도 크게 늘어나지 않았다. 2022년 119명이던 네이버 정보보호 인력은 2023년 130명으로 늘었지만 2024년에도 같은 수준을 유지했다. 전체 IT 인력 대비 비중 역시 4.0%에서 4.3%로 소폭 상승하는 데 그쳤다.

◇'기술 내재화'로 구축한 네이버 보안 역량

다만 네이버는 KISA 공시가 실제 정보보호 활동을 온전히 반영하지 못해 일부 착시 효과가 발생한다고 설명하고 있다. KISA 공시는 외부 솔루션 투자액 기준으로 집계된다. 네이버는 외부 솔루션보다 보안 기술을 직접 개발하는 내재화 전략을 취하고 있다. 따라서 절대 투자 규모가 작게 보일 수 있지만 실제로는 다양한 보안 활동이 이뤄지고 있다는 것이다.

일례로 네이버는 2019년부터 운영해 온 자체 버그바운티(Bug Bounty) 프로그램을 통해 서비스 전반의 보안 체질을 강화하고 있다. 외부 보안 연구자들의 제보 건수는 꾸준히 유지되는 반면, 실제 서비스에 영향을 미치는 '유효 버그'는 절반 이하로 줄어드는 등 예방 효과가 나타나고 있다.


네이버 정보보안 백서에 따르면 2021년 버그바운티를 통해 접수된 제보는 총 579건이었다. 이후 점차 감소세를 보여 2024년에는 296건으로 줄었다. 제보 중 실제 서비스에 영향을 미치는 유효 보안 취약점은 같은 기간 291건에서 128건으로 56% 감소했다.

또한 네이버는 버그바운티를 통해 국내뿐 아니라 해외 보안 전문가로부터 취약점 제보도 받고 있다. 리워드는 달러 기준으로 책정되고 지급 시점 환율을 반영해 각국 제보자에게 보상하고 있다. 이러한 글로벌 협업을 통해 대응력을 높이는 데 집중하고 있다.

네이버 관계자는 "네이버는 보안 기술을 자체 개발해 내재화하고 있다"며 "이러한 내역들이 외부 솔루션 구매로 이어지지 않아 투자 금액이 작아보일 수 있지만 내부적으로 유출 의심 계정 24시간 내 보호조치 기술 개발 등 다양한 보안 활동이 이뤄지고 있다"고 설명했다.