주메뉴바로가기 본문바로가기
전체메뉴
HOME > Target@Biz > 비즈

오픈AI 첫 정보보호 공시 "투자액·인력 등 핵심수치는 비공개"

글로벌 기준 내세웠지만 투명성은 숙제…앤트로픽 등 후발 AI 사업자도 뒤따를까

2026.07.01(Wed) 17:04:46

[비즈한국] 생성형 인공지능(AI) 서비스 챗GPT를 운영하는 오픈AI가 올해 처음 국내 ‘정보보호 공시’ 의무 대상에 포함되면서 자사의 정보보호 현황을 공개했다. 사이버보안 투자와 AI 기반 보안 체계, 조직 운영 등은 비교적 구체적으로 설명했지만, 정작 정보기술(IT)·정보보호 투자 규모와 전담 인력 등 핵심 정량 지표는 밝히지 않았다. 글로벌 기업들이 공통적으로 내세우는 ‘글로벌 기준 운영’ 논리를 따랐지만, 정보보호 투명성은 여전히 과제로 남겼다는 평가가 나온다.

 

오픈AI가 올해 처음 국내 ‘정보보호 공시’ 의무 대상에 포함되면서 자사의 정보보호 현황을 공개했다. 지난해 오픈AI 한국 법인 출범 당시 기자간담회에서 발언하고 있는 제이슨 권 오픈AI 최고전략책임자. 사진=오픈AI


#AI 기업답게 보안 활동 상세 공시

 

오픈AI는 지난달 30일 첫 국내 정보보호 공시를 통해 AI 기반 보안 체계와 운영 방식, 사이버보안 연구 활동 등을 공개했다. 이사회 산하 안전 및 보안 위원회, 연중무휴 24시간 운영되는 보안관제센터(SOC), 보안 전문기업 스펙터옵스(SpecterOps)와의 상시 레드팀(Red Team) 평가 등도 처음 공개됐다. 반면 이용자가 객관적으로 비교할 수 있는 핵심 수치는 끝내 확인하기 어려웠다.

 

한국인터넷진흥원(KISA)의 정보보호 공시제도는 ‘정보보호산업의 진흥에 관한 법률’에 따라 기업이 정보보호 투자 규모와 전담 인력, 정보보호 활동 현황 등을 공개하도록 한 제도다. 이용자는 이를 통해 기업의 정보보호 수준을 확인할 수 있다. 올해 공시 의무 대상은 지난해보다 27개 늘어난 693개사다. 대상 기업은 사업 분야와 매출액, 이용자 수 등 법정 기준에 따라 매년 선정된다.

 

KISA 관계자는 “의무 공시 대상은 법령에서 정한 기준에 따라 선정되며, 오픈AI도 이 기준을 충족해 올해 공시 대상에 포함됐다”고 설명했다. 모바일인덱스에 따르면 올해 1월 기준 챗GPT의 국내 월간활성이용자(MAU)는 약 1430만 명에 달한다. 오픈AI 역시 한국 시장의 중요성을 여러 차례 강조해왔다. 제이슨 권 오픈AI 최고전략책임자(CSO)는 지난해 9월 한국 법인 출범 당시 “한국은 아시아태평양 지역에서 챗GPT 사용자가 가장 많은 국가”라고 밝힌 바 있다.

 

오픈AI의 정보보호 활동은 AI 보안 생태계 지원과 내부 통제 체계 강화에 방점을 찍었다. 2023년 시작한 사이버보안 보조금 프로그램을 통해 AI 기반 보안 기술 연구를 지원하고, 올해는 프롬프트 인젝션(Prompt Injection) 방어와 에이전트 보안(Agentic Security) 등 생성형 AI 특화 분야로 지원 범위를 넓혔다. 프롬프트 인젝션은 악의적인 입력으로 AI가 의도하지 않은 명령을 수행하도록 유도하는 공격 기법이다. 보안 취약점을 신고한 연구자에게 지급하는 버그 바운티도 최대 10만 달러(약 1억 5000만 원)로 상향했다.

 

보안 거버넌스도 강화했다. 지난해 이사회 산하에 안전 및 보안 위원회를 신설해 주요 AI 모델의 안전성과 보안성을 검토하고, 필요하면 출시를 연기할 수 있도록 했다고 밝혔다. 또 24시간 운영되는 보안관제센터와 외부 보안업체와의 레드팀 평가를 통해 상시 대응 체계를 가동하고 있다고 설명했다.

 

이와 함께 국제 보안 인증을 유지하고 제로 트러스트(Zero Trust) 기반 보안 설계, 연례 침투 테스트, 임직원 보안 교육도 운영 중이라고 밝혔다. 정보보호 활동 항목에는 사이버보안 스타트업 어댑티브 시큐리티 투자와 AI 악용 사례를 분석한 위협 보고서(Threat Report) 발간, 오픈소스 소프트웨어 취약점 탐지·보완 연구 등도 포함됐다.

 

오픈AI 데이브레이크 GPT-5.5-사이버 사이버짐 벤치마크 성능비교. 사진=오픈AI


반면 투자 현황과 인력 현황은 모두 “당사의 투자는 글로벌 기준으로 이뤄지고 있다”는 특기사항으로 갈음했다. 정보기술 투자액과 정보보호 투자액, 총 임직원 수, 정보기술 부문 인력, 정보보호 전담 인력은 모두 공란으로 두고, 최고정보보호책임자(CISO)와 개인정보보호책임자(CPO)의 직책, 임원 여부, 겸직 여부만 공개했다.

 

#정성 정보는 비교적 충실…중요한 정보는 “글로벌 기준 따라”

 

핵심 숫자가 공란인 이 같은 공시 방식은 오픈AI만의 특징은 아니다.수년째 정보보호 공시를 하고 있는 구글, 메타, 아마존웹서비스(AWS), 틱톡, 알리바바, 알리익스프레스, 텐센트, X(옛 트위터) 등도 정보기술 투자액과 정보보호 투자액, 전담 인력 규모 등을 "글로벌 차원에서 운영된다"며 특기사항으로 대체하거나 별도 산정이 어렵다고 설명하고 있다. 대신 글로벌 차원의 보안 정책과 인증, 정보보호 활동을 중심으로 공시를 작성하는 방식이 일반적이다.

 

다만 글로벌 기업이라고 모두 같은 수준의 정보를 공개하는 것은 아니다. 넷플릭스는 국내 법인 수치를 별도로 산정하기 어렵다고 설명하면서도 그룹 전체 기준 정보기술 투자액 4조 8264억 원, 정보보호 투자액 2587억 원, 총 임직원 1만 6000명, 정보기술 인력 5534명, 정보보호 전담 인력 269명 등을 구체적으로 공개했다. 중앙 정보보호 조직이 한국 서비스를 포함한 글로벌 보안 업무를 수행한다는 점도 함께 설명했다.

 

마이크로소프트의 한국 법인들도 투자액은 별도 산정이 어렵다고 밝혔지만, 모회사 기준 전 세계 풀타임 직원 22만 8000명과 사이버보안 전담 엔지니어 3만 4000명 이상, 한국 법인 임직원 81명 등을 공개했다. 한국 법인의 CISO 역할과 글로벌 CISO 조직 체계, CPO의 역할도 비교적 상세하게 설명했다.

 

국내 생성형 AI 이용이 빠르게 확산되는 가운데 오픈AI를 시작으로 향후 앤트로픽 등 주요 AI 사업자도 정보보호 공시 대상에 포함될 가능성이 제기되면서, 글로벌 AI 기업의 정보보호 투명성을 둘러싼 논의도 더욱 확대될 전망이다. 사진=비즈한국DB


오픈AI의 첫 공시는 정성적 정보만 놓고 보면 글로벌 기업 가운데서도 비교적 충실한 편이다. 반면 이용자가 기업의 정보보호 수준을 비교할 수 있는 가장 직접적인 지표인 투자 규모와 전담 인력은 여전히 확인하기 어려웠다. 상당수 글로벌 기업이 이 같은 항목을 공개하지 않으면서 정보보호 공시의 실효성이 제한된다는 지적도 꾸준히 제기된다.

 

특히 오픈AI는 국내 이용자 비중이 높은 데다 업무 문서와 소스코드, 개인정보 등 민감한 데이터를 생성형 AI에 입력하는 사례가 늘고 있는 만큼 일반 글로벌 플랫폼보다 정보보호에 대한 사회적 관심도 높은 사업자다. 이 때문에 ‘글로벌 기준’이라는 설명만으로 핵심 지표를 대신하기보다 이용자가 참고할 수 있는 수준의 정보는 보다 적극적으로 공개할 필요가 있다는 목소리도 나온다.

 

한편 올해 처음 오픈AI가 공시 대상에 포함되면서 향후 다른 생성형 AI 사업자의 공시 의무 여부에도 관심이 쏠린다. 최근 생성형 AI 시장이 오픈AI 중심에서 다변화되면서 앤트로픽의 클로드와 구글 제미나이의 국내 이용자 수도 빠르게 늘고 있다. 메타·틱톡·X는 국내 이용자 수 기준으로, 텐센트는 클라우드컴퓨팅 서비스 제공자 기준으로 공시 대상에 포함됐다. MS는 클라우드컴퓨팅 서비스 제공자와 이용자 수 기준을 모두 충족해 공시를 시행하고 있다. ​

 

마인드로직의 이용 데이터 기반 분석에 따르면 GPT 모델 이용 비중은 지난해 9월 85.7%에서 올해 5월 34.8%로 낮아진 반면, 클로드는 같은 기간 5.7%에서 36%로 증가했다. 제미나이도 20%대 이용 비중을 유지하고 있다. AI 사업자 역시 향후 이용자 수 등 법정 기준을 충족할 경우 정보보호 공시 대상에 포함될 수 있을지 주목된다.

 

KISA 관계자는 “글로벌 기업은 국내 법인 기준의 투자 규모나 인력을 별도로 산정하기 어려운 경우가 많다”며 “과학기술정보통신부와 협의를 거쳐 글로벌 사업자에는 정보보호 활동을 중심으로 공시하도록 유도하고 있다”고 말했다. 이어 “글로벌 기업의 정량적인 투자 규모를 확인하기는 어렵지만 정보보호 인증과 보안 활동 등 정성적인 정보는 공시를 통해 확인할 수 있다”고 덧붙였다.

강은경 기자

gong@bizhankook.com

[핫클릭]

· 오리온, 리가켐 적자 확대에도 추가 투자…'바이오 베팅' 어디까지
· [인터뷰] 고병철 포스텍홀딩스 대표 "출신보다 중요한 건 기술적 차별성"
· 애슬레저 1세대 뮬라 회생 절차 폐지…파산 기로
· [현장] 공공 AI의 적, 보안 위협 막을 묘책 어디 없을까
· [현장] 카카오 첫 파업, 노조가 겨눈 진짜 쟁점 "성과급보다 경영 책임"
· 네이버 찾은 젠슨 황 "AI 모델·클라우드·로봇 함께 간다"


<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>