 |
수화기 너머 한 기업 보안 담당자가 기자에게 한 말이다. 정부가 정보보호 공시 의무 대상을 코스피·코스닥 상장법인 전체로 확대하는 시행령 개정안을 입법 예고한 가운데, 현장에서 미묘한 반응이 나오기 시작한 것이다. 정부 입장에서는 '사각지대 해소'라는 명분이 분명하지만, 실제 국내 기업들의 보안 역량을 제고하는 데 얼마나 도움이 되겠냐는 의견도 나온다.
이 찜찜함은 낯설지 않다. 정보보호 공시 제도는 시행 이후 줄곧 디테일이 부족하다는 지적을 받아왔다. 현 공시 체계에서는 정보보호 투자 금액을 명시하더라도 정보기술(IT) 투자에 묻히는 경우가 많고, IT 대비 정보보호 투자 비율을 공개하더라도 정의가 모호하거나 분모가 커 실질적인 보안 투자 의지를 살펴보는 데 한계가 있다. 전사 시스템 구축, 클라우드 전환, 데이터 분석, 인공지능(AI) 도입까지 모두 IT 투자로 묶이지만 그 안에 보안 솔루션과 관제, 침해사고 대응 비용이 섞여 들어가면 정보보호는 언제나 상대적으로 작아 보일 수밖에 없다. IT와 보안 장비에 대한 정의가 모호해 기업별로 다른 영역에 공시를 완료하는 경우도 허다하다.
이 구조에서는 두 가지 왜곡이 생긴다. 하나는 보안 투자가 적더라도 괜찮아 보이게 만드는 착시, 다른 하나는 보안에 거대 비용을 써도 티가 나지 않는 무력감이다. 실제로 보안 예산을 늘린 기업도 IT 투자 전체가 커지면 비율은 오히려 낮아질 수 있다. 반대로 보안을 최소한으로만 유지해도 IT 투자 규모만 키우면 그럴듯한 비율로 만들 수도 있다. 과연 공시 제도 취지에 맞는 행보인지 재점검이 필요한 때다.
이번 개정안은 이러한 구조를 그대로 둔 채 틀을 적용받는 기업만 늘렸다는 한계가 분명하다. 전 상장사가 의무적으로 공시를 한다면 더 많은 숫자를 볼 수는 있겠지만 정말 보안 투자에 대한 의지가 있는지 진실을 살펴보기는 어려울 것이다. '왜 이 회사는 보안 체계가 약한가'라는 질문에 답하기도 쉽지 않을 수밖에 없다. 제도 개선이라는 칼을 뽑았지만 날카롭게 날을 갈아내지는 못했다는 아쉬움이 든다.
공시는 투명성을 위한 제도다. 투명하게 정보보호 투자를 공시하는 것은 양보다 질이 우선시 돼야 한다. 정부는 보안을 소홀히 여겼거나 해킹을 반복한 기업을 "일벌백계하겠다"고 선언했지만, 그 근거는 여전히 부족하다. 공시 제도가 귀찮은 의무가 아닌 해킹과 같은 대규모 사고를 막기 위한 보안 투자를 자랑하는 공간이 되기를 희망해 본다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.