컨텐츠로 건너뛰기
검색
디지털데일리 언론사 이미지

[보안공시 해부] 정보보호 공시 의무화 4년…새 정부 맞이 변화 기대

디지털데일리 김보민 기자
원문보기

[보안공시 해부] 정보보호 공시 의무화 4년…새 정부 맞이 변화 기대

서울맑음 / -3.9 °

[디지털데일리 김보민기자] 국내 주요 기업들의 보안 투자와 인력 현황을 살펴볼 정보보호 공시 시즌이 막을 내리고 있다. 올해 공시는 이달 30일을 기점으로 모두 마감된다.

정보보호 공시의 역사는 9년 전으로 거슬러 올라간다. 2016년 자율 시행된 정보보호 공시는 2022년부터 매출·사업 분야·이용자 수 등 조건에 해당하는 기업을 대상으로 의무화됐다. 올해는 정보보호 의무공시가 이행된 지 4년째 되는 해다.

과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)은 가이드라인에서 제도 취지와 관련해 "디지털 전환 과정에서 발생하는 사이버 침해 사고, 디지털 대란 등이 기업의 경제적 피해, 대외 신뢰도 저하, 이용자 불편 등 기업 경영에 직·간접적인 영향을 끼치고 있다"며 "기업 정보보호 현황은 위험관리와 관련된 주요 정보이지만 시장에 투명하게 공개되지 못했고, 이해관계자들은 해당 기업의 정보보호 현황을 알 수 없어 불충분한 정보로 서비스 이용과 투자 등 의사결정이 이뤄졌다"고 밝혔다. 이용자, 국민, 주주 차원에서 신뢰를 제고할 수 있도록 공시 의무를 부과했다는 것이다.

현재 의무공시 대상 사업자는 ▲회선설비 보유 기간통신사업자 ▲집적정보통신시설 사업자 ▲상급종합병원 ▲클라우드컴퓨팅 서비스 제공자다. 규모 기준으로는 ▲정보보호최고책임자(CISO)를 지정·신고해야 하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3000억원 이상이 의무공시 대상이다. 이 밖에도 ▲정보통신 서비스 일일 평균 이용자 수가 100만명 이상인 곳도 의무 기준에 속한다.

자율공시도 가능하다. 정보통신망을 통해 정보를 제공하거나, 정보 제공을 매개하는 기업이라면 이해관계에 따라 자율공시를 이행할 수 있다. 정보보호 현황을 자율 공시한 경우에는 공시 시점부터 1년 내 정보보호 및 개인정보보호 관리체계(ISMS 또는 ISMS-P) 인증심사 수수료를 30% 할인받을 수 있다. 공시 의무가 없더라도 관련 기업들이 자발적으로 보안 투자 현황을 공개하도록 유도하는 일종의 인센티브 전략이다.

정보보호 공시 이행 규모도 매해 증가하고 있다. KISA에 따르면, 2022년 의무화 이후 공시를 이행한 곳(의무·자율)은 658곳으로 시작해 715곳, 746곳으로 늘었다. 같은 기간 의무 공시는 594곳, 652곳, 655곳으로 증가했고 자율 공시는 64곳에서 63곳으로 줄었다가 이듬해 91곳으로 늘었다. 정보보호 투자액은 2022년 1조5072억원에서 지난해 2조1196억원으로 상승했다. 이 기간 평균 정보보호 전담인력은 9.0명에서 10.5명으로 늘어났다.


그러나 정보보호 공시 제도의 한계를 지적하는 목소리도 여전하다. 의무·자율공시 기업들은 정보기술 및 정보보호 부문 투자액과 인력(CISO·CPO 지정 포함) 현황을 KISA 종합 포털을 통해 공개하고 있는데, 실제 세부적인 내용을 파악하기 어렵기 때문이다. 업계에서는 보안 솔루션이 탑재된 기기 운영 비용을 정보보호 투자로 통합해버리는 경우가 있다는 목소리가 나오고 있다.

중요 정보를 다루는 기업이 많은데, 의무 기준이 턱없이 높다는 지적도 제기된다. 연매출이 3000억원 이상이 아니더라도 고객을 비롯해 중요 정보를 다루는 기업이 대다수이기 때문이다. 공시 의무 대상을 확대해야 한다는 의견이 제기되는 이유다.

정보보호 공시 제도가 보안 인식 제고에 기여하는 방향으로 개선돼야 한다는 의견도 나온다. KISA에 따르면, 최근 3년간 정보보호에 누적 1000억원 이상 투자한 국내 기업은 10곳에 그쳤다. 명단에는 삼성전자, KT, SK텔레콤, 쿠팡, SK하이닉스, LG유플러스, 삼성SDS, 우리은행, 네이버, LG전자가 이름을 올렸다.


이재명 대통령이 대선후보 당시 정보보호 공시 제도를 강화하겠다고 약속한 만큼, 실효성을 높이기 위한 변화가 추진될지 지켜볼 부분이다. 개인정보보호위원회(이하 개인정보위)를 비롯한 관계 기관은 기업에 의무를 부과하는 것을 넘어, 자율적으로 정보보호 체계를 강화하는 생태계가 마련돼야 한다고 보고 있다.

국내 보안업계 관계자는 "공공의 경우 개인정보 영향 평가를, 민간은 조건에 따라 정보보호 현황을 의무적으로 공시하고 있다"며 "이러한 제도는 '하라는 대로 하지 않았냐'는 변명을 하도록 돕는 역효과를 낳고 있다"고 말했다. 이어 "결국 자율적으로 정보보호 체계를 강화하고 보안 투자를 할 수 있도록 인센티브 제도를 도입하는 등 대책이 필요하다"고 말했다.

한편 <디지털데일리>는 [보안공시 해부] 기획기사를 통해 주요 기업들의 2025년도 공시 결과를 분석하고, 산업별 문제점과 국내 보안 생태계 개선을 위한 제언사항을 살펴본다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.