과학기술정보통신부는 정보보호 투자 활성화와 이용자 보호를 위해 정보보호 투자·인력 등 현황을 의무적으로 공시해야 하는 ‘정보보호 공시 의무자’를 603개 기업으로 확정해 14일 발표했다.

앞서 3월 정보보호 공시 의무자 확정을 위해 지난 3월 의무공시 기업(안)을 한국인터넷진흥원(KISA) 누리집 등을 통해 안내하고, 스스로 정보보호 공시 의무자가 아니라고 판단하는 기업의 이의신청 접수 및 검토를 거쳐 의무 대상기업을 확정했다.

정보보호 공시 의무자에는 대·중견 이상의 상장회사를 비롯해 주요 정보통신 설비를 갖춘 통신사(ISP)·클라우드 서비스 제공자, 이용자 수가 많아 정보보호 필요성이 큰 온라인 쇼핑, 배달 서비스 운영사 등이며, 상급 종합병원 33곳도 포함됐다.

정보보호 공시 의무자는 오는 6월 30일까지 정보보호 공시 현황 자료를 과학기술정보통신부 전자공시시스템으로 제출해야한다.

정보보호 공시제도는 정보보호를 비용이 아닌 기업의 경쟁력을 강화하는 방법이라는 인식을 확대해 기업의 자발적인 정보보호 투자를 촉진하기 위해 지난 2015년 12월 시행된 ‘정보보호산업의 진흥에 관한 법률(정보보호산업법)’에 도입됐다. 당시에는 의무는 아니었고 자율로 시행하는 대신에 보보호관리체계(ISMS) 인증 수수료 감면 등의 인센티브를 제공해 참여를 유도했지만 크게 활성화되지 않았다.

이후 지난해 정보보호산업법과 이 법 시행령이 개정·시행되면서 자율에서 의무화 제도가 도입됐다. 의무 대상은 ▲회선설비를 보유한 기간통신사업자, 집적정보통신시설 사업자, 의료법상 상급종합병원, 클라우드 서비스 제공자로 ▲정보보호 최고책임자(CISO) 지정·신고 대상 상장법인 가운데 매출액 3000억원 이상 기업 ▲전년도 말 직전 3개월 간 정보통신서비스 일일평균 이용자 수 100만명 이상을 보유한 기업이다.

공시 의무를 위반하는 경우 최대 1000만원 이하의 과태료 처분을 받을 수 있다.

법에 정보보호 공시 의무화가 도입된 후 과기정통부는 공시 의무자의 원활한 제도 이행을 지원하기 위해 작년 12월 ‘정보보호 공시 가이드라인 개정본’을 마련했다. 올해에는 정보보호 공시 사전컨설팅, 정보보호 공시 실무 교육 등 정책적 지원을 확대하고 있다.

정보보호 투자, 인력 등 정보보호 공시 자료산출을 지원하기 위한 사전컨설팅 수요조사를 지난 2월 실시했으며, 선정된 120개 기업들을 대상으로 온라인, 단체 오프라인, 방문 컨설팅 등 맞춤형 컨설팅을 지원한다.

공시 현황 자료산출을 돕기 위해 5월 12일에 기업 공시 담당자 교육, 13일에는 회계법인 및 정보시스템 감리법인 컨설팅 전문가를 대상으로 맞춤형 교재를 활용한 교육을 추진한다.

김정삼 정보보호네트워크정책관은 “ESG(환경⋅사회⋅지배구조) 경영이 주목받는 가운데, 디지털 대전환에 박차를 가하는 기업이 늘고 있어 정보보안 역량이 기업의 핵심 경쟁력이자 성공요인으로 작용하고 있다”면서, “기업은 정보보호 공시를 통해 이용자들에게 다양한 정보보호 노력을 알릴 필요가 있고, 이 과정에서 기업 간의 건전한 경쟁이 유도돼 정보보호 투자가 자연스럽게 발생하기를 기대한다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network