정보보호 공시 의무, 전체 상장사 대상 확대…‘실효성 확보’가 관건

과기정통부 상장사 전체 의무화·등급제 도입, 올해 안에 시행령 입법예고
전문가·업계 투명성 공감하지만, 공격 노출·행정 부담 우려

정부가 정보보호 공시 의무 대상을 상장사 전체로 확대하고 공시 결과를 등급화하는 제도 개편을 추진한다. 잇따른 해킹 사고로 기업의 보안 신뢰가 흔들리는 가운데, 정부는 공시 확대를 통해 시장의 신뢰를 회복하고 보안 투자를 유도하겠다는 구상이다.

배경훈 부총리 겸 과학기술정보통신부 장관은 지난달 범정부 정보보호 대책 발표 당시 “기업에는 부담이 될 수 있으나 국민 신뢰를 위한 조치”라며 “정보보호 공시가 단순 보고서가 아니라 기업 보안 신뢰의 기준이 되도록 하겠다”고 강조했다.

다만 업계와 전문가 사이에서는 “공시 강화를 통해 보안을 강화하겠다는 정부의 취지는 공감하지만, 제도의 실효성 확보와 기업 부담이 함께 고려돼야 한다”는 지적도 나온다.

정보보호 공시 검증 강화“자율 공시 후 검증, 평가는 국민이 하는 구조로

과기정통부는 올해 말까지 ‘정보보호산업의 진흥에 관한 법률 시행령’ 개정을 마치고 정보보호 공시 의무 대상을 전체 상장사 약 2700개사로 확대할 계획이다.

기존 666개 기업 중심으로 운영되던 공시 체계를 전면 개편해, 기업의 보안 역량을 객관적으로 평가하고 국민이 신뢰할 수 있는 투명한 지표를 만들겠다는 취지다.

최영선 과기정통부 정보보호산업과장은 “상장사 전체를 대상으로 하는 시행령 개정안을 마련 중이며 연내 입법예고를 목표로 추진하고 있다”며 “시행령 개정 과정에서 협력단체와 산업계의 의견을 폭넓게 수렴해 제도적 완성도를 높일 것”이라고 설명했다.

과기정통부는 이번 제도의 핵심을 ‘직접 규제가 아닌 간접 유도’로 보고 있다. 정부가 보안 투자나 인력 규모를 일률적으로 강제하기보다 국민이 공시 자료를 통해 기업의 보안 수준을 판단하고, 그 결과가 시장의 신뢰와 선택으로 이어지게 하겠다는 것이다.

최 과장은 “정보보호 공시는 처벌 중심의 규제가 아니라, 국민이 공시 내용을 보고 어떤 기업이 더 안전한 서비스를 제공하는지를 판단할 수 있도록 하는 간접적 유도 장치”라며 “잘하는 기업은 더 잘하도록 미흡한 기업은 평가를 통해 개선하도록 유도하는 것이 제도의 취지”라고 설명했다.

과기정통부는 정보보호 공시 항목을 세분화하고, 투자액·인력 규모·조직 운영 체계 등을 기준으로 평가 등급을 도입할 방침이다.

최근 과기정통부가 플랫폼·통신 분야 40개 기업을 대상으로 진행한 공시 검증에서는 21곳이 5% 이상의 오차 범위로 부정확한 공시를 제출해 수정공시를 권고받았다. 그 이유로 최 과장은 “담당자 해석의 차이로 인한 단순 오류도 있었다”며 “공시 가이드라인과 검증 절차를 정교화해 오류를 사전에 예방할 수 있는 체계를 마련할 예정”이라고 말했다.

아울러 “공시 제도의 핵심은 국민이 기업의 보안 수준을 비교·평가할 수 있게 만드는 투명성”이라며 “법적 강제보다는 시장 신뢰에 기반한 구조를 통해 기업의 자발적 참여를 유도하겠다”고 덧붙였다.

지난 10월 22일 배경훈 부총리 겸 과기정통부 장관이 범정부 정보보호 대책을 발표하고 있다. (사진=바이라인네트워크)

전문가 공시 과하면 공격 노출 위험업계 “취지 공감하지만 행정 부담 커, 인센티브 필요

전문가들은 공시 강화가 기업의 보안 투자를 촉진하는 긍정적 효과가 있지만, 공시가 과도해질 경우 공격자에게 기업의 보안 취약점이 노출될 수도 있다는 점을 우려한다.

한국인터넷진흥원(KISA) 인터넷법제포럼 의장을 맡고 있는 이상직 법무법인 태평양 변호사는 “사이버 위협이 급격히 고도화되는 상황에서 공시 강화는 불가피한 조치지만 핵심 사항 위주로 간결하게 이뤄져야 한다”고 말했다.

그는 “공시만으로 보안역량이 강화되지 않는다”며 “해커들이 공시 내용을 분석해 기업의 보안 구조나 투자 수준을 파악하고 그에 맞춘 우회 전략을 세울 위험도 있다”고 지적했다.

이어 “공시 내용의 검증 절차를 강화하되, 기업이 과도한 인적·행정 부담 없이 이행할 수 있는 현실적 기준이 필요하다”며 “민간 중심의 ‘사이버보안 전략회의’ 등 자율 논의체를 통해 현장의 의견을 정책에 반영해야 한다”고 덧붙였다.

보안업계는 제도의 취지에는 공감하지만 실제 현장에서는 행정 부담과 공시로 인한 위험, 그리고 실효성을 높이기 위한 인센티브·권한 구조 개선의 필요성을 함께 지적한다.

보안기업 지니언스 관계자는 “정보보호 공시의 필요성과 책임을 일찍부터 인식해 자율적으로 공시를 시행해 왔으며, 실제로 정보기술 투자 대비 정보보호 투자 비율이 13%를 넘어 업계 평균을 크게 상회했다”며 “공시 확대는 기업의 보안 인식을 ‘비용’이 아닌 ‘경영 필수 투자’로 전환시키는 계기가 될 것”이라고 평가했다. 이어 “기업의 신뢰도와 대외 경쟁력을 높이고, 산업 전반의 보안 수준을 향상시키는 긍정적 효과가 기대된다”면서도 “초기 제도 정착 과정에서는 외부 회계 검증비용, 인건비 산정 등 실무적 부담이 특히 중소·중견 상장사에 작지 않을 것”이라고 설명했다.

한 보안업계 관계자는 “(정보보호 공시가) 형식적인 공시에 그치는 가장 큰 원인 중 하나는 보안 투자에 대한 실질적 보상이나 인센티브가 부족하기 때문”이라며 “기업이 보안 투자를 늘려도 사고가 발생하면 그 노력이 참작되지 않는다”고 말했다. 그는 “의무만 있고 혜택이 없다면 제도가 확대돼도 결과는 크게 달라지지 않을 것”이라며 “정보보호 전담 인력이 기업 내에서 충분한 권한을 보장받아야 실질적 보안 강화가 가능하다”고 덧붙였다. 이어 “보안 책임자가 단순 실무자 수준에 머물면 정책 실행력도 떨어질 수밖에 없다”며 “보안 전략을 수립하고 이를 실행으로 옮길 수 있도록 충분한 권한이 보장돼야 한다”고 강조했다.

정보보호 공시를 하고 있는 또 다른 기업 관계자는 “공시가 실질적인 제도로 자리 잡으려면, 외부 검증비용 지원과 공시 관련 투자·인증비용에 대한 세액공제 등 현실적인 인센티브가 필요하다”며 “연구개발 비용 산정이나 인건비 투입 기준이 불명확해 행정 부담이 크다”고 말했다. 이어 “산정 기준을 표준화한 가이드라인과 자동화 툴이 보급된다면 기업의 참여율과 제도의 실효성이 함께 높아질 것”이라고 강조했다.

아울러 “단순 투자비 중심 평가 대신 인증 획득·침해사고 대응 훈련 등 정량화된 활동 성과를 평가 항목에 포함하고, 정부 사업 입찰 가점이나 K-ESG 평가와 연계하는 방식으로 실질적 혜택을 주는 것이 바람직해 보인다”고 덧붙였다.

글로벌 빅테크는 여전히 공백역차별 우려도

한편, 글로벌 빅테크 기업들은 여전히 공시 사각지대에 놓여 있다. 메타, 구글, 마이크로소프트 등은 국내 법인이 있음에도 매년 공란 수준의 공시 자료만 제출하고 있으며, 구체적인 정보보호 투자액이나 인력 현황을 공개하지 않는다.

해외 본사에 보안 조직과 시스템이 있는 탓에 국내 실적을 분리하기 어렵다는 이유 때문이다. 이로 인해 정보보호관리체계(ISMS) 인증 의무나 과징금 산정에서도 제외되는 등 국내 기업만 규제를 온전히 부담하는 역차별 구조가 고착되고 있다는 지적도 나온다.

이와 관련해 배경훈 장관은 범정부 정보보호 대책 발표 당시 “글로벌 빅테크도 똑같은 기준으로 정보보호 공시를 해야 마땅하다고 생각한다”며 “그렇게 하도록 (제도를) 만들어갈 계획”이라고 설명한 바 있다.

다만 아직 실질적인 정책 방안은 마련되지 않았다. 과기정통부 관계자는 “글로벌 본사 정보를 제출하게 해도 검증할 방법이 마땅치 않다”며 “국내 매출 축소 신고나 법인 구조상 공백은 여전히 과제”라고 말했다.

해외는 보안 리스크·사고 보고 중심한국은 법정 공시운영

해외 주요국은 한국처럼 기업의 정보보호 현황을 정기적으로 공개하는 법정 공시 제도를 두고 있지 않다. 대부분은 보안 사고 발생 시 정부나 투자자에게 신속히 보고하도록 하는 ‘사후 보고’ 체계에 초점을 맞추고 있다.

미국은 증권거래위원회(SEC)를 중심으로 투자자 보호 목적의 사이버 리스크 공시 제도를 운영한다. 2023년부터는 중대한 보안 사고가 발생할 경우 4영업일 이내 SEC에 보고하도록 의무화했고, 연례보고서에는 기업의 보안 거버넌스와 리스크 관리 체계를 기술하도록 하고 있다.

다만 이는 투자자 판단을 위한 재무 공시의 연장선일 뿐, 한국처럼 보안 투자나 인력 규모를 국민에게 주기적으로 공개하는 제도는 아니다.

유럽연합(EU)도 ‘NIS2 지침’을 통해 24시간 내 사고 통보 의무를 규정했지만, 이는 감독기관에 대한 신고 절차에 가깝다. 기업의 보안 수준이나 조직 운영 체계를 일반에 공개하도록 한 조항은 없다.

일본은 경제산업성의 ‘사이버보안 매니지먼트 가이드라인’을 통해 상장사들이 자율적으로 보안 정책을 환경·사회·지배구조(ESG) 보고서에 포함하도록 권장하지만 강제력은 없다.

이와 달리 한국은 법에 근거한 세계적으로 드문 ‘법정 보안 공시제도’를 운영하고 있는 상황이다.

전문가들은 정보보호 공시 제도가 투명성을 높이는 긍정적 효과를 가져올 수도 있지만, 기업의 행정 부담과 실효성 문제를 낳는 이중적 구조를 안고 있어 균형 있는 제도 운용을 위한 협의가 중요하다고 강조한다.

이상직 변호사는 “공시 강화를 통해 기업의 책임 의식은 높아질 수 있지만, 이행 과정에서의 리스크와 과도한 인력·비용 부담이 발생할 수 있다”며 “결국 공시의 목적이 보안 투자 확대인지 국민 대상 정보 공개인지 아니면 둘 다 인지 명확히 정리가 돼야, 제도가 정부의 취지에 맞는 실제 효과를 낼 수 있을 것”이라고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.