편의점 업계를 포함한 유통업계가 ‘오프라인을 위한 온라인(O4O) 전략’을 강화하고 있지만 정보보호를 위해 쓰는 돈은 미미한 것으로 나타났다.
16일 정보보호 공시종합포털에 따르면 지난 15일 중국 해커의 공격을 받은 편의점 CU의 운영사 BGF리테일(282330)의 2022년 정보보호부문 투자액은 7억6899만원인 것으로 나타났다. 지난해 영업이익이 2593억원이었다는 점을 감안하면 관련 투자액은 0.26% 수준이다.
기업 내부의 정보보호 부문 인력은 3.4명에 불과했다. 지난해 CU의 편의점 자사 애플리케이션 포켓CU의 가입자 수는 1450만명으로 전년보다 11.5% 증가했다. 신규 가입자 수만 따지고 봐도 관련 인원 비중은 부족한 편이다.
매출 1위 편의점 GS25의 운영사 GS리테일(007070)의 상황도 비슷하다. GS리테일의 지난해 영업이익 2451억원, 정보보호부문 투자액은 53억원이었다. 전체 영업이익에서 정보보호부문 투자액이 차지하는 비중은 2.16%였다.
언뜻 봐선 CU보다 영업이익 대비 투자액 비중이 높아보이지만 절대치로는 낮은 편이다. GS리테일은 편의점 GS25 뿐 아니라 기업형 슈퍼마켓 등 다른 유통사업도 하고 있는 데다 오프라인 매장을 모두 통합한 ‘우리동네GS’도 지난해 10월 새로 선보였기 때문이다.
GS25의 ‘나만의 냉장고’, GS더프레시 앱, 더팝 앱, 우리동네 딜리버리 주문하기 등을 모두 합해 만든 ‘우리동네GS’의 지난해 10월 이후 사용자 수는 약 1600만명이었는데, 이를 관리하는 정보보호 부문 내부인력은 14.2명인 것으로 나타났다.
이마트24를 운영하는 이마트(139480)의 정보보호부문 투자액은 55억원이었다. 지난해 이마트의 영업이익이 1451억원이었다는 점을 감안하면 2.24% 수준에 그친다. 정보보호 내부인력은 4명에 불과했다.
유통업계는 코로나19 이후 온라인 시장이 급성장하면서 O4O 서비스 강화는 선택이 아닌 필수로 받아들이고 공격적으로 투자해왔다. 이 때문에 IT보안업계에서는 유통회사를 새로운 시장으로 봤지만 이는 예상과 달랐다. 정보보호 투자에 관핸 소극적이었기 때문이다. 소비자 정보보호 등에 투입되는 예산을 비용으로 보는 시각이 강했기 때문이다.
보안 솔루션업계 관계자는 “아직 고객 정보에 대한 공격이 제대로 들어온 적이 없고, 사고가 나지 않아 내부적으로 투자를 설득하기 힘들다는 취지로 말하는 유통업체가 많았다”면서 “정보보호를 위한 인프라 예산을 확보하는 것은 비용이 아닌 투자인데 아직 그런 개념이 확립되지 않은 상황”이라고 했다.
김명주 서울여자대학교 정보보호학과 교수는 “오프라인 중심으로 사업을 하다가 온라인 중심 사업으로 넘어갔을 때 가장 취약해지기 쉬운 분야가 바로 정보보호 분야다. 당장 눈에 보이는 소득이 없기 때문이고 과거 정보보호 부문에서 문제가 터졌을 때 기업이 감내해야 했던 손실액이 생각보다 많지 않아서 기업이 나쁜 학습을 했기 때문”이라면서 “하지만 해외 사례를 보면 이 문제는 기업의 신뢰에 큰 악영향을 미치고 기업의 존립에 까지 영향을 미친다”고 했다.
이에 대해 익명을 요구한 유통업계 관계자는 “소비자가 활용하기 쉬운 온라인 공간을 만들고 알리는 데 집중하다보니 정보보호 쪽까지 신경을 못 썼을 순 있다”면서 “지난해부턴 관련 공시도 주기적으로 하는 대상에 포함된 만큼 점차 나아질 것으로 본다”고 했다.