정보보호 공시 의무 대상 확대 “규제 강화보다 실효성 확보가 중요”
단계적 이행, 공시 성숙도 지표, 분야별 중복 공시 부담이 쟁점
사이버 침해 사고가 기업 규모와 업종을 가리지 않고 번지는 가운데, 정부가 정보보호 공시 의무 대상을 전 상장사로 넓히는 방안을 내놨다. 다만 현장에서는 “대상만 늘리면 서류 상의 형식적인 공시로 끝날 수 있다”는 우려가 나온다. 공시가 실제 보안 수준을 끌어올리는 장치가 되려면, 기업 부담을 줄이면서도 공시의 내용을 더 정확히 설계해야 한다는 요구가 쟁점으로 떠올랐다.
과학기술정보통신부는 6일 서울 서초구 한국컨퍼런스센터에서 ‘정보보호산업의 진흥에 관한 법률(정보보호산업법) 시행령’ 관련 공청회를 열고, 정보보호 공시 의무 대상 확대 방안을 설명했다. 이종혁 과기정통부 정보보호산업과 과장은 공시 제도가 “이용자와 투자자가 기업의 정보보호 수준을 확인해 합리적인 선택을 하도록 돕고, 기업이 투자와 노력 결과를 투명하게 알리는 제도”라고 밝혔다.
전 상장사+ISMS 의무기업으로 확대, 2027년 시행 제시
정부가 제시한 개정안은 의무 공시 범위를 전 상장사로 확대하는 내용이 핵심이다. 현재는 ‘매출 3000억원 이상 상장사’ 등 일부 기준을 충족해야 의무 대상이 되는데, 이 기준을 걷어내고 상장사 전체로 넓히겠다는 방향이다. 여기에 정보보호 관리체계(ISMS) 인증 의무 기업도 공시 의무 대상으로 포함하는 방안이 담겼다. ISMS는 기업·기관이 정보보호 정책, 접근 통제, 사고 대응 같은 관리체계를 갖췄는지 심사하는 국내 인증 제도다.
이 과장은 “ISMS 인증 의무가 부과될 정도로 중요한 서비스를 제공하는 곳이라면, 정보보호 투자와 활동을 공시로 확인할 수 있어야 한다”며 취지를 설명했다. 이어 “의무 확대는 시행령 개정 이후 2027년부터 시행할 계획”이라고 덧붙였다.
“비용보다 편익 더 커”…공시 효과 ‘15배’ 분석
의무 확대에 대한 기업 부담 우려가 제기되는 가운데, 현장에서는 공시 제도의 효과가 비용 대비 압도적으로 크다는 분석이 나왔다. 조일형 상명대학교 교수는 정보보호 공시 의무기업 87개사와 만19세 이상 국민 500명을 대상으로 한 설문과 비용·편익 분석 결과를 제시하며, 정보보호 공시 제도의 사회·경제적 편익이 비용 대비 15.75배 수준으로 산출됐다고 설명했다.
조 교수 연구에 따르면 2023년 기준 공시 관련 비용 지출 평균은 1199만원, 공시 업무에 투입하는 시간은 평균 108시간으로 나타났다. 공시 의무화 이후 정보보호 투자를 확대했다고 응답한 기업도 36.1%였다. 제도 영향에 대해 긍정적으로 답한 기업 비율은 72.1%로 집계됐다. 그는 “정보보호 공시 제도는 규제임에도 불구하고 기업과 국민 모두에게 편익이 있는 제도로 분석됐다”고 말했다.
또 국민 대상 설문에서는 응답자의 61.2%가 정보보호 공시 제도를 알고 있다고 답했다. 조 교수는 개인 정보 유출 등 침해사고 예방 기대, 이용자 알 권리 보장 측면에서 국민이 체감하는 효과가 크다고 분석했다.
“규제가 아니라 신뢰 장치”…상장사 전반으로 확대 ‘방향성’ 공감대
현장에서는 공시 확대 방향 자체에는 대체로 공감대가 형성됐다. 이효경 충남대학교 교수는 “정보보호 공시를 규제가 아닌 기업 신뢰도 제고 수단으로 인식 전환해야 한다”며 “전 상장사로 확대하는 개정안은 일정 수준의 책임을 지는 상장사 전반을 일관되게 확보한다는 점에서 타당하다”고 말했다.
김진수 한국정보보호산업협회 수석부회장도 “정보보호 공시 확대는 규제가 아니라 기업의 보안 역량과 신뢰도를 보여주는 장치”라며 “운영과 관리 중심의 보안 체계를 평가하는 방향으로 발전해야 한다”고 했다.
이미 공시를 수행 중인 기업들 역시 제도 확대 필요성에 동의했다. 지정호 비바리퍼블리카(토스) 최고정보보호책임자(CISO)는 “정보보호 공시 의무 대상 확대 방향에 산업계 CISO의 한 사람으로서 찬성한다”며 “소비자 입장에서는 어떤 서비스를 신뢰하고 이용할지 판단하는 계기가 되고, 기업 입장에서는 정보보호 수준을 객관적으로 입증할 수 있다”고 말했다. 홍관희 LG유플러스 CISO도 “공시 확대가 투자와 수준 향상을 유도하고, 기업의 대응 수준을 더 투명하게 공개하는 계기가 될 수 있다”고 밝혔다.
“소기업은 부담”…규모·역량 따라 항목과 시기 ‘차등화’ 요구
다만 ‘확대가 곧 실효성’은 아니라는 지적도 나왔다. 특히 소기업을 중심으로 공시 체계와 인력이 부족한 ‘공시 취약계층’이 생길 수 있다는 우려가 제기됐다. 이효경 교수는 “방향은 타당하지만 모든 기업에 동일한 시점과 동일한 요건을 적용하는 것은 현실적으로 어려울 수 있다”며 “기업 규모와 업종, 정보보호 역량 차이를 고려한 단계적 이행 방안이 필요하다”고 말했다.
김진수 수석부회장은 “‘보안에는 성역이 없다’는 원칙에는 공감하지만 제도가 안착하려면 충분한 유예기간과 지원책이 병행돼야 한다”며 “소기업은 최소 핵심 요소부터 적용하고 준비 기간을 통해 내실 있는 보안 체계를 구축하도록 유도할 필요가 있다”고 강조했다.
지정호 CISO도 “공시 취약계층에 대해서는 충분한 지원책이 필요하다”며 “정책 적용 시기 역시 차등화할 필요가 있다. 실무자 가이드라인과 교육 지원이 함께 마련돼야 한다”고 말했다. 단순히 대상 확대로 끝내지 말고, 기업이 실제로 따라올 수 있는 ‘적용 설계’를 함께 내놓아야 한다는 요구다.
“투자액 나열로는 부족”…‘성숙도·운영’이 보이게 지표를 바꿔야
공시 항목의 방향을 바꾸자는 의견도 나왔다. 공시가 투자액 중심으로 굳어지면 숫자 경쟁으로 비칠 수 있고, 특정 시점의 장비 도입이 과대평가되는 착시가 생길 수 있다는 지적이다. 김진수 수석부회장은 ‘운영과 관리 중심’ 평가로의 발전을 강조했고, 홍관희 CISO도 공시 확대가 투자와 수준 향상으로 이어지려면 공시 항목이 그 수준을 설명해야 한다는 취지로 발언했다.
여기서 ‘성숙도’는 보안 체계가 어느 정도 단계까지 현장에서 작동하는지를 보는 개념이다. 예를 들어 사고 대응 절차를 문서로만 둔 조직과, 훈련과 점검을 반복해 실제 대응력을 검증하는 조직은 같은 투자액이어도 결과가 다르다. 공시가 이런 차이를 보여주면 기업의 선택도 일회성 구매보다 지속적인 운영으로 바뀔 수 있다.
실무 현장에서는 중복 제출 우려도 제기됐다. 지정호 CISO는 금융권처럼 업권별로 이미 유사한 보고 체계가 있는 경우, 공시 확대가 같은 내용을 다른 양식으로 반복 제출하는 부담으로 이어질 수 있다고 지적했다. 그는 제도가 자리 잡기까지 가이드라인과 교육 지원이 필요하다고도 강조했다. 공시 확대가 행정 부담으로만 남지 않으려면, 기존 보고 체계와의 정합성 조정이 함께 이뤄져야 한다는 것이다.
CISO 의무는 망법 기준만 적용
추가로 나온 ‘추가 의무 부담’ 우려에 대해 정부는 선을 그었다. 이 과장은 “공시 대상 확대가 곧바로 다른 규제 의무로 연결되는 것은 아니다”라고 설명했다. 코스닥 상장사가 공시 의무 대상이 될 경우 CISO를 반드시 지정해야 하는지에 대해선 “모든 기업이 CISO를 지정해야 하는 것은 아니며 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률(정보통신망법)’ 기준에 해당하는 경우에만 지정·신고 의무가 발생한다”고 밝혔다. 공시 항목에 CISO 지정 여부를 적는 칸이 있더라도, 의무 대상이 아니라면 기재하지 않아도 된다는 취지다.
IT 의존도가 낮은 업종까지 일괄 확대하면 행정비용이 과도해질 수 있다는 문제 제기도 나왔다. 이에 대해 이 과장은 “침해사고는 업종과 규모를 가리지 않는다”며 “업종을 떠나 공시 부담을 줄이기 위한 수단으로 가이드라인 배포, 실무 교육, 사전 점검 지원을 할 예정”이라고 했다.
과기정통부는 단계적 이행과 중복 부담 등 현장에서 제기된 쟁점을 최종 개정안에 반영하겠다는 입장이다. 이 과장은 “소기업과 관련해서는 현실적인 실현 가능성을 종합적으로 검토해 최종안을 마련하겠다”고 말했다.
정보보호 공시 의무 확대 논의는 이제 그 초점이 대상에서 내용으로 옮겨가고 있다. 전 상장사 확대 자체는 큰 틀에서 공감대를 얻었지만, 공시가 투자액 나열로 끝날지 보안 수준을 제대로 보여주는 실효성 있는 정보로 변화할지 지에 따라 제도의 평가는 갈릴 전망이다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

