매출 3천억원 이상 상장기업, ‘정보보호 공시’ 의무화...대상 대폭 축소

전년도 매출 3000억원 이상의 상장 기업과 일 평균 이용자 수 100만명 이상의 정보통신서비스 사업자들은 앞으로 매년 정보보호 현황을 의무적으로 공시해야한다.

정보보호 투자 활성화 및 이용자 보호를 위해 정보보호 공시 의무화 등의 제도를 담은 ‘정보보호산업의 진흥에 관한 법률(정보보호산업법)’ 시행령 개정안이 7일 국무회의를 통과해 오는 9일 시행한다.

이번 시행령 개정안은 지난 6월 정보보호산업법이 일부개정됨에 따라 법률에 위임을 받아 의무대상 기준, 이행기한 등 제도시행에 필요한 내용을 마련했다. 신설된 정보보호산업법 13조제2항과 41조제1항제1호는 일정 규모 이상의 기업이 이용자의 정보보호를 위해 정보보호 현황을 공시하도록 의무화하고, 공시하지 않을 경우 1000만원 이하의 과태료 부과를 주요 내용으로 하고 있다.

이에 따라 과학기술정보통신부는 정보보호 공시 의무 대상의 범위와 기준을 학계, 법조계, 사업자단체, 대기업·중견기업·중소기업(정보보호최고책임자) 등 각계 전문가 의견과 이해관계자 의견을 종합적으로 반영해 시행령을 도출했다고 밝혔다.

다만 이번에 정해진 의무화 대상 범위는 당초 과기정통부가 지난 8월 입법예고할 당시에 명시된 기준보다 대폭 축소됐다. 과기정통부는 첫 입법예고 당시 의무화 대상 기준을 ‘매출액 500억원 이상, 일평균 이용자 10만명 이상’으로 잡았으나 의견 수렴을 거쳐 지난 달 의무대상이 이렇게 대폭 축소된 기준으로 변경된 개정안을 다시 입법예고한 바 있다.

시행을 앞둔 이번 시행령 개정안에는 정보보호 공시 의무 부과 대상의 범위와 기준이 신설(제8조제1항)됐다. 과기정통부는 관계부처, 전문가 연구반, 이해관계자의 의견과 제도 개정 취지와 기업 규제 부담 수준 등을 고려해 사업분야 매출액, 이용자 수에 따른 의무대상 기준을 정했다. 그 결과 의무 대상은 ▲회선설비를 보유한 기간통신사업자, 집적정보통신시설 사업자, 의료법상 상급종합병원, 클라우드컴퓨팅 서비스제공자로 ▲정보보호 최고책임자(CISO) 지정·신고 대상 상장법인 가운데 매출액 3000억원 이상 기업 ▲전년도 말 직전 3개월 간 정보통신서비스 일일평균 이용자 수 100만명 이상을 보유한 기업이다.

이에 따라 의무 대상 기업 수는 당초 예상보다 대폭 축소되게 됐다.

이번 개정안에 신설된 정보보호 공시 의무 예외 규정(제8조제2항) 역시 기업의 규제 부담 완화 등의 의견을 반영해 ▲공공기관 ▲소기업 ▲금융회사 ▲정보통신업 또는 도‧소매업을 주된 업종으로 하지 않는 전자금융업자는 의무대상에서 제외했다.

정보보호 공시 이행 기한(제8조제6항)은 6월 30일까지 기업별 정보보호 공시자료를 제출하도록 규정했다. 기업공시, 환경공시 등 타 공시제도의 이행 기간을 참고한 결과다.

과기정통부는 새롭게 의무화되는 정보보호 공시가 국내 기업·기관의 정보보호 수준을 더욱 향상시키는 계기가 될 수 있도록 정보보호 공시 전 과정 컨설팅, 교육 등 다양한 정책적 지원을 마련할 계획이다.

또한 기업들이 쉽게 정보보호 공시에 참여할 수 있도록 정보보호 투자, 인력 산출 방법, 정보보호 활동 대상 기준 등의 내용을 담은 ‘정보보호 공시 가이드라인’을 연내 개정할 예정이다.

임혜숙 과기정통부 장관은 “4차산업혁명의 디지털 대전환이 진행되어 최근 KT 네트워크 장애 사태에서 보듯이 디지털과 네트워크 의존도는 그 어느 때 보다도 높다”며, “이용자는 정보보호 공시를 통해 기업이 어느 정도 노력으로 정보보호에 투자하는지 알 필요가 있고, 이를 알리는 과정에서 경영진의 관심이 촉구돼 정보보호 투자가 자연스럽게 발생하는 선순환 구조가 모든 산업 분야에 정착되길 기대한다”고 밝혔다.