정보보호 공시 ‘구멍’ 막기 작업 한창…가이드라인 손질 예고

정보보호 공시제도 의무화 2년 차를 맞은 가운데 정부와 한국인터넷진흥원(KISA)이 제도 다듬기에 박차를 가하고 있다. 정보보호 노력을 더 세밀하게 확인해 현황을 확실히 파악하기 위함이다. 제도의 허점 또한 발견됐던 만큼 이를 제대로 관리할 방안이 나올 지 주목된다.

정보보호 공시 제도는 기업이 정보보호를 위해 투자한 금액과 인력 등 관련 정보를 공시하도록 한 제도다. 정보보호 현황을 기업이 제대로 파악하고 관리하도록 해 이용자 보호는 물론 기업의 관련 투자를 확대하는 게 목적이다.

2016년 자율제로 시작한 제도는 2022년부터는 연매출이 3000억원 이상이고 일평균 이용자 수 100만명 이상인 서비스를 제공하는 기업은 의무적으로 공시하도록 바뀌었다.

하지만 시행 2년 차를 맞은 지금 여러 허점이 발견된 상태다. 대상인데도 공시 자체를 하지 않거나, 본사를 해외에 둔 외국계 기업은 한국기업과 다르게 제대로 정보를 공개하지 않는 문제가 불거졌다.

특히 외국계 기업의 소홀한 공시 노력은 문제다. 지난해에 이어 올해도 부실한 공시가 이뤄졌다.

넷플릭스를 제외하고 구글을 비롯해 마이크로소프트, 메타, IBM, 아마존웹서비스(AWS), 오라클 등 이름만 들으면 알만한 글로벌 IT 기업의 한국지사들도 정보보호 노력을 몇 줄의 텍스트로 설명했을 뿐 정확한 정보보호 인력 숫자와 투자 금액은 제공하지 않았다. 본사가 정보보호 체계 전반을 담당해 한국만의 정보를 제공하기 어렵다는 이유다.

일례로 한국오라클은 제출한 공시 자료에 “글로벌 차원에서 정보보호 체계를 구축, 운영하고 있어 국내에 한정된 자료를 취합하는 것이 어렵다”고 밝혔고, 한국마이크로소프트는 “전사적(세계적)으로 사이버 보안 관련 업무를 전담하는 8500명 이상의 인력이 있다”고 밝히는 등 한국 내 투자와 인력 현황을 수치 대신 텍스트 설명으로 갈음했다.

또 전체 직원수를 적는 총 임직원란에 이와 같은 설명을 써놓는가 하면 추가 기재사항으로 낸 정보보호 투자 노력에 자사 솔루션 목록과 기능을 나열하는 등 공시 목적과 다른 공시가 이뤄지는 문제가 계속되고 있다.

한국오라클(사진 좌측)과 한국마이크로소프트가 올해 제출한 정보보호 공시 자료 발췌.

공시한 정보에 대한 점검 과정도 미비한 면이 있었다. 현재 공시 절차 흐름은 대상 기업이 우선 정보보호 관련 정보를 공시 포털에 공개하고, 과학기술정보통신부가 사후 검증하는 형태다. 대신 회계법인이나 감리법인의 사전 점검을 받은 경우에는 사후 검증 대상에서 제외해준다.

그러나 사전 점검이 미비하게 이뤄질 경우, 제대로 된 공시도 하지 않으면서 제재는 피해가는 문제가 있었다. 정부는 공시를 소홀히 한 기업에 최대 1000만원의 과태료나 정보보호관리체계인증(ISMS) 수수료 감면 금액 환수 등의 조치를 내린다. 하지만 회계법인이나 감리법인 같은 사전 점검기관의 점검을 받아 정부의 사후 검증을 피하면 제재도 피할 수 있는 구조였다.

법령 고치고 정책 연구도 시작

이에 정보와 운영 기관들은 팔을 걷어붙였다. 과기정통부는 지난달 ‘정보보호산업의 진흥에 관한 법률 시행규칙’ 일부 개정안을 입법예고했다. 공시된 정보에 대한 검증을 더 촘촘히 하는 게 목적이다.

해당 개정안에는 고의 또는 중대한 과실로 사실과 다른 내용을 공시하거나, 정당한 사유 없이 수정 요청에 따르지 아니할 경우 등 공시를 취소할 수 있다는 내용이 담겼다. 회계법인이나 감리법인과 같은 사전 점검 기관도 과기정통부가 고시한 자격요건을 갖춘 사람 3명 이상을 상시 고용하도록 하는 등 요건을 강화했다.

제도 운영기관인 KISA도 세부 사항을 다듬는 데 집중하고 있다. 현재 ‘정보보호 공시 가이드라인 고도화 연구 용역’을 냈다. 공시 절차를 안내하는 가이드라인을 보완하는 차원이다. 지금의 가이드라인은 일반적인 기업의 사례만 담겨 일부 기업은 정보보호 공시 내용을 산출하기 어려운 경향이 있었다는 게 KISA의 설명이다.

KISA 관계자는 “복잡한 회선 설비를 갖춘 기간 통신 사업자나 클라우드 서비스 기업들의 정보 공시와 관련한 내용을 구체화하는 것이 목적”이라고 설명했다. 특히 통신설비 기반 업종은 관련 자산과 비용이 매우 다양하고 분량도 방대해 자료 산출 과정에 어려움을 겪고 있었다는 게 이 관계자의 설명이다. 이들 기업이 이미 보유한 대장을 활용해 관련 투자액을 쉽게 산출할 수 있는 방안을 안내하고 세부적인 주의사항도 담을 계획이다.

외국계 기업의 부실한 공시에 대응하는 제도 손질도 이뤄질 것으로 보인다. 과기정통부는 올해 외국계 기업들과 관련 간담회를 가지기도 했다. 과기정통부 관계자는 “내부적으로 (제도 개편) 논의를 해야 할 것 같다”고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.