[블루팀 리포트] 내년 2000개 기업 정보보호공시 의무화…고용·투자 밝혀야

내년부터 수천 개 국내 기업이 해마다 전년도에 번 돈 중 정보기술(IT) 부문에 얼마를 썼고, 그중 정보보호 부문에는 얼마를 썼는지 밝혀야 한다. 전체 내부 임직원 수는 몇 명인지, 내·외부 IT 부문 담당인력은 몇 명인지, 그중 정보보호 부문 전담인력은 몇 명인지도 제시해야 한다. 무슨 정보보호 인증과 점검을 얼마나 받았고, 이용자 정보보호 활동을 어떻게 하고 있는지 드러내야 한다.

정부가 추진하고 있는 '정보보호산업의 진흥에 관한 법률(이하 정보보호산업법) 시행령' 개정안이 가져올 변화다. 개정안에 따르면 주요 정보통신 인프라 사업자, 연매출 500억원 이상의 상장사, 일평균 이용자 10만명 이상의 서비스를 제공하는 기업 등 2000여개사에 정보보호 투자와 전문 인력·활동 현황을 공개하는 '정보보호 공시' 의무가 생긴다. 미이행 시 과태료가 부과된다.

과학기술정보통신부는 지난 27일 법제처에 이런 내용의 '정보보호산업법 시행령 일부개정령(안)' 재입법예고를 게재했다. 이제까지 일부 민간 기업들이 자율적으로 시행해온 정보보호 공시를 앞으로는 일정 규모의 기업에 의무화하는 이번 개정안의 주요 내용과 그 개정 이유를 밝히고, 이런 방향에 대해 국민과 이해관계자의 의견을 수렴 중이다.

정보보호산업과의 규제영향분석에 따르면, 이 정보보호 공시 의무 대상은 주로 업종에 무관하게 '정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하는' 기업을 겨냥했다. 이런 기업이 영세 사업자, 대기업, 비영리법인 등 다양하게 분포하지만 이용자 수가 많거나 기업 규모가 클수록 사이버사고 발생에 따른 피해 규모도 증가할 것으로 추정됐다.

과기정통부는 정보보호 공시 의무화가 민간의 정보보호 투자 활성화를 촉진할 가능성, 사회적 파급력 등을 고려해 정보보호 필요성이 큰 사업 분야 등 기준에 해당하는 기업을 공시 의무 대상으로 정했다. 공공기관과 소기업 등은 정보보호 공시 의무 대상에서 제외했다. 시행령 개정안의 기준에 해당하는 기업을 총 2000여개사로 추정했다.

정보보호 공시 의무화가 기업의 정보보호 투자 활성화를 촉진하고 보안 역량을 강화하며, 이용자의 안전한 서비스 이용과 투자자의 알권리 보장 효과로 이어질 것이라고 기대 중이다. 향후 정보보호 공시 이행률 100%를 목표로 반기별 현황을 점검하고, 3년마다 공시 이행률과 공시 내용을 검토해 규제 대상을 개선해 나갈 예정이다.
    현행 정보보호 공시제도는 기업의 정보보호 투자·인력·활동에 관한 정보를 이해관계자에게 공개하도록 하는 자율 공시다. 정보 공개가 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 촉진할 수 있을 것이라는 기대로 시작됐다. 정보보호산업법 제13조와 이 법의 시행령 제8조를 근거로 운영되고 있다.

'정보보호산업진흥포털'에 여러 해에 걸쳐 꾸준히 공시를 이어 온 일부 기업의 공시를 포함해 현재 130건의 공시 정보가 등록돼 있다. 지난 2016년 12월 '테크빌교육'과 '삼성웰스토리'를 시작으로 5년간 통신사, 핀테크 기업, 교육사업자, 게임사, 대학교, 병원, 공기업, 전자상거래업체가 자율 공시를 해왔다.

하지만 중복을 제외하면 매년 자율적으로 정보보호 관련 사항을 공시하는 기업은 수십 곳에 불과하다. 당초 정보보호 공시제도 도입 시 당국이 기대한 것보다 기업들이 자율공시에 참여하는 수준이 저조했다. 실제로 과기정통부에 따르면 지난해까지 자율공시에 참여한 기업은 52개사에 그쳤다.

과기정통부는 "디지털전환 가속화로 정보보호 중요성은 커지는 반면, 자율공시에 따른 참여 저조로 정보보호 공시제도의 실효성은 적은 상황"이라고 평가했다. 일정 규모 이상 기업의 정보보호 투자 현황 파악, 향후 지속적인 투자 활성화 등 정보보호 수준을 높이기 위해 정보보호 공시를 의무화하기로 했다.
  과기정통부는 법 제13조 제2항에서 위임한 공시의무 대상 기준을 시행령 개정안에 신설한 제8조 제2항에 담았다. 전기통신사업법상 '기간통신사업자', 정보통신망법상 '집적정보통신시설사업자', 의료법상 '상급종합병원', 클라우드컴퓨팅발전법상 '클라우드컴퓨팅서비스제공자', 매출 500억원 이상의 유가증권·코스닥 상장사, 전년도 말 기준 직전 3개월간 일평균 이용자수 10만명 이상인 기업이다.

정보보호 공시 대상을 의무화함에 따라 의무를 이행할 시한도 정했다. 시행령 개정안에 신설된 제8조 제5항은 "법 제13조 제1항 또는 제2항에 따라 정보보호 공시를 하려는 자는 매년 6월 30일까지 정보보호 현황을 전자공시시스템에 입력해야 한다"라고 정하고 있다. 공시 업무는 종전대로 기업 내 정보보호최고책임자(CISO)가 주관하되, 최고경영자(CEO)의 확인을 거치도록 했다.

과기정통부는 이달 11일부터 다음달 23일까지 시행령 개정안을 입법예고했다. 이어 27일부터 오는 10월 6일까지 재입법예고를 진행하고 있다. 이 두 번째 시행령 개정안은 기존 정보보호 공시 의무 부과 대상의 범위와 기준을 그대로 유지하면서, 정보보호 공시 의무 대상에서 공공기관과 일부 소기업을 제외하는 '제8조의 제3항'을 추가했다.

공시 의무 대상에서 제외되는 기업은 '중소기업기본법' 시행령 제8조 제1항에 따른 소기업이다. 해당 시행령 조항에 따르면 '한국표준산업분류'로 세분화된 주된 업종 분류에 따라 평균 매출액 120억원 이하, 80억원 이하, 50억원 이하, 30억원 이하, 10억원 이하 등의 기준으로 '소기업'으로 구분돼, 정보보호 공시 의무가 면제된다.
    과기정통부는 미국과 일본에서 기업의 사이버보안 관련 인력, 예산, 관리체계 등 정보를 시장에 공개하는 다양한 수단을 채택하고 있다고 파악했다. 이는 정보공개를 통해 이해관계자의 알권리 충족, 신뢰성과 보안 투자 향상 등 정보보호 공시제도를 도입하고 운영하는 취지와 유사하다고 평가했다.

미국에서는 지난 2018년 2월 증권거래위원회가 상장기업을 대상으로 사이버보안 위협과 사고 등에 대한 정보를 이해관계자들에게 공개하도록 하는 가이드라인인 '사이버보안 공시에 관한 위원회 가이드'를 발간했다. 이에 따라 기업들은 주로 연례보고서 내의 '위험요소' 항목에 사이버보안과 중대한 사이버보안 위험에 대한 내용을 담아 공개하고 있다.

일본에서는 지난 2019년 6월 총무성 사이버보안총괄관이 사이버보안 관련 공개 내용을 범주화하고 관련 사례를 담은 가이드라인인 '사이버 보안 대책 정보 공개 지침서'를 발간했다. 이에 따라 기업들은 유가증권 보고서나 사회적책임(CSR) 보고서를 통해 사이버보안 대응 방침, 예산과 인력을 포함하는 자원 등의 관련 정보를 선택적으로 공개하고 있다.

국내 법체계에 정보공개 의무를 부과하는 사례도 늘고 있다. 에너지절약 목표와 실적에 관련된 환경정보 공개를 규정한 '환경기술산업법' 조항이 지난 4월 신설돼 오는 10월 시행된다. 지난 2018년 철도운영자의 철도안전 분야 투자 예산 규모를 매년 공시하도록 규정한 '철도안전법'의 제6조의2(철도안전투자의 공시) 조항과, 지난 2019년 신설, 내년 시행되는 항공안전법 안전투자 공시 조항도 있다.
  과기정통부의 규제영향분석서에 따르면 최근 3년간 탐지된 해킹 건수는 2016년 1만2300건, 2017년 1만5300건, 2018년 1만5800건이고, 국내 기업의 사이버침해사고 발생 비중은 2017년 2.2%, 2018년 2.3%, 2019년 2.8% 등으로 매년 증가하는 추세다. 이 피해는 국민 생활 전체에 영향을 미칠 것으로 우려됐다.

이에 과기정통부는 정보보호를 기업 경영의 중요 요소로 포함하도록 하고 기업의 정보보호 투자를 활성화해, 기업 정보보호 수준을 높일 필요가 있다고 진단했다. 지난 2016년부터 이용자 정보보호와 기업의 정보보호 투자 활성화를 독려하는 차원에서 자율적인 정보보호 공시제도를 운영해 온 배경이었다.

과기정통부는 올해 상반기 이 제도의 실효성을 높이기 위해 공시 의무화를 추진했다. 국회에서 사업분야·매출액·이용자수 등이 일정 규모 이상인 기업에 정보보호 공시의무를 부과하는 근거와 이를 위반할 경우 1000만원 이하의 과태료를 부과한다는 내용이 담긴 정보보호산업법 개정안이 통과되고, 지난 6월 국무회의에서 의결됐다.

홍진배 과기정통부 정보보호네트워크정책관은 당시 "정보보호 공시 의무화로 일반 국민 및 이용자 등을 대상으로 기업의 정보보호 투자·인력 등 현황 정보를 투명하게 공개해 이용자를 보호할 수 있을 것"이라며 "일정 규모 이상 기업에 대한 정보보호 공시 강화로 정보보호 투자 노력을 유인하게 되어 정보보호 강화와 정보보호산업 진흥 효과를 기대한다"라고 말했다.