유료기사는 인쇄용 화면을 제공하지 않습니다.

제약·바이오 정보보호 투자 늘었지만…전담인력 '0명'·CISO 겸직 여전

등록 2026-07-06 오전 10:44:12
  • kakao
  • facebook
  • twitter
  • link_url

    [이데일리 홍주연 기자] 기업들의 정보보호 중요성이 커지는 가운데 국내 제약·바이오 기업들의 정보보호 투자는 늘었지만 전담인력 ‘0명’, 최고정보보호책임자(CISO)·최고개인정보보호책임자(CPO) 겸직 등 허술한 관리체계는 여전한 것으로 나타났다.

    3일 한국인터넷진흥원(KISA) 정보보호 공시 종합 포털에 따르면 의무 공시 대상 기업들은 지난달 30일까지 정보보호 현황을 게재했다. 이데일리 제약·바이오 프리미엄 콘텐츠 팜이데일리가 공시 내용을 분석한 결과 주요 제약·바이오 기업의 정보보호 투자액은 전반적으로 늘었지만 기업 간 편차는 뚜렷했다.
    주요 기업들의 정보보호 전담 인력 추이 (이미지=정보보호 공시 종합 포털)
    주요 기업들의 정보보호 전담 인력 추이 (이미지=정보보호 공시 종합 포털)
    삼성바이오로직스 100억·셀트리온 30억…투자액은 전반적 증가

    공시에 따르면 지난해 삼성바이오로직스(207940)는 정보보호 부문에 104억1900만원을 투자했다. 2024년 92억1400만원에서 소폭 늘어 100억원을 넘겼다. 정보보호 부문 투자 규모는 정보기술 투자액의 9.9% 수준이다. 정보보호 전담인력은 내부 7.5명, 외주 1명 등 총 8.5명이다.

    셀트리온(068270)의 정보보호 투자액은 지난해 29억6500만원으로 2024년 26억1000만원에서 3억원 넘게 증액됐다. 정보기술 부문 투자액 대비 17.2% 수준이다. 전담인력도 내부 기준 8.8명에서 11.5명으로 늘었다. 과학기술정보통신부가 집계한 매출 상위 상장사 773곳의 평균 정보보호 전담인력(11.2명)을 웃도는 수준이다.

    전통 제약사 중에서는 GC녹십자가 지난해 투자액 24억9000만원으로 가장 많았고 한미약품(128940)(15억4500만원), 종근당(185750)(14억9600만원), 유한양행(000100)(12억6900만원), 동국제약(086450)(11억6000만원) 등이 뒤를 이었다. 특히 GC녹십자는 최근 3년간 정보보호 투자 증가율이 207.4%에 달했고, 지난해 투자액도 그 전년 대비 39.1% 늘었다.

    정보기술 부문 투자액 대비 정보보호 투자 비중은 동국제약(14.1%), 종근당(13.2%), 유한양행(11.8%), GC녹십자(10.8%) 등이 10%를 넘겼다. 한미약품(5.1%)과 동화약품(000020)(5.5%) 등은 올해 공시 대상 726개 기업의 평균 정보보호 투자 비중인 5.9%를 밑돌았다.

    전담인력 ‘0명’에 외주 의존…인력 감소한 기업도

    투자액과 달리 인력과 거버넌스 등 관리체계는 대부분 개선되지 않는 모습을 보였다. 종근당은 정보처리시스템 운영·유지보수를 그룹 IT 계열사인 벨아이앤에스에 위탁하는 구조로, 내부 전담인력 없이 외주인력 6.5명으로 공시했다. 한미약품도 내부 전담인력이 0명이며 외주인력은 4.7명으로 지난해 5.4명에서 오히려 줄었다. 유한양행(내부 4.7명), 녹십자(내부 3명), 동국제약(내부 1.7명) 등도 전담인력 규모가 크지 않았다.

    동화약품은 내외부 전담인력이 모두 0명이라 공시했다. 이와 관련해 지주회사가 IT 업무를 공유서비스 방식으로 수행하고 있으며 정보기술 부문 인력 2명이 정보보호 업무를 겸임하고 있다고 설명했다. 정보보호 투자액은 1억7000만원으로 지난해 1억4400만원에서 소폭 늘었지만 정보기술 부문 투자액(30억5900만원) 대비 5.5% 수준에 그친다. 노바렉스(194700) 역시 내외부 전담인력이 0명이며, 투자액도 4973만원으로 정보기술 부문 투자액 대비 4.8% 수준이다.

    CISO·CPO 겸직 문제도 여전했다. CISO와 CPO는 모두 기업의 보안을 담당하지만 역할은 다르다. CISO는 정보보안 전략과 실행을 총괄하고, CPO는 개인정보를 법과 규정에 따라 관리한다. 통상적으로 CISO는 기술 전문가, CPO는 법률 전문가가 맡는다. CISO·CPO가 다른 직무를 겸하면 상시 관리가 필요한 보안 업무가 후순위로 밀릴 수 있다는 우려가 제기된다. 다만 다수의 기업에서 비용 등의 이유로 한 임원이 두 직책을 겸직하고 있으며, 현행법상 겸직은 허용된다.

    삼성바이오로직스의 경우 임원인 정보보호팀장이, 셀트리온은 임원인 담당장이 CISO와 CPO를 겸직하고 있다. GC녹십자는 CISO가 CPO와 디지털혁신실장을 함께 맡고 있다. 유한양행은 CISO와 CPO가 각각 정보기술실장, 경영관리본부장을 겸직 중이다. 종근당은 재경 담당 임원이 CISO를, 컴플라이언스 담당 임원이 CPO를 맡고 있다.

    한미약품의 CISO와 CPO는 각각 정보전략그룹장, 인사총무팀장 직책을 갖고 한미사이언스 CISO·CPO까지 겸직하고 있다. CISO가 임원급이 아닌 사례도 확인됐다. 한미약품, 유한양행, 동국제약의 CISO는 임원급이 아니며, 동화약품은 임원이 아닌 정보전략팀장이 CISO와 CPO를 모두 맡고 있다.

    글로벌 빅파마 해킹으로 경각심 커져

    제약·바이오 업계의 정보보호 체계가 주목받는 것은 최근 글로벌 제약사를 겨냥한 사이버 공격이 잇따르고 있어서다. 로이터 통신 등 외신에 따르면 노보 노디스크는 지난달 내부 IT 시스템 일부가 침해됐다. 해커들은 최대 5000만달러(약 722억원)의 몸값을 요구했으며, 탈취 데이터에는 출시·미출시 신약 정보, 임상시험 데이터, 임직원·의사·환자 정보, 생산 시설 관련 정보, 사내 AI 모델 정보 등이 포함됐다고 주장했다. 업계에서는 이번 사건을 단순 랜섬웨어 공격이 아닌 산업기술 탈취 시도로 보고 있다. 국내에서도 업종을 불문하고 보안 사고가 이어지면서 연구개발 데이터와 임상 정보를 보유한 제약·바이오 기업의 보안 체계에 대한 경각심이 커지고 있다.

    현행 정보보호 공시 의무는 매출액 3000억원 이상, 정보통신 서비스 일 평균 이용자 100만명 이상 등 일정 규모 이상의 사업자에 적용된다. 공시 의무가 없는 기업은 투자 규모를 외부에서 확인하기 어려운 만큼, 정부는 지난 1월부터 ‘매출액 3000억원 이상’ 조건을 삭제하고 유가증권시장 및 코스닥 상장 법인 전체로 공시 의무를 확대하는 개정안 입법을 추진하고 있다.