[사진=게티이미지뱅크]
일정 규모 이상의 기업이 정보보호 분야 투자·인력·인증 현황을 의무적으로 공시하도록 개정된 '정보보호 공시' 제도가 시행에 들어갔다. 이에 국내에서 사업을 영위하는 클라우드사업자(CSP), 데이터센터(IDC)사업자, 기간통신사업자와 많은 이용자를 거느린 온라인서비스 운영사, 정보보호 전담 임원을 둔 대형 상장사와 종합병원이 내년부터 의무적으로 정보보호 현황을 공시해야 한다.
공시 의무 대상이 된 기업은 내년 상반기 안에 과학기술정보통신부의 '전자공시시스템(ISDS)'에 올해 기준 정보보호 공시 현황 정보를 게시해야 한다. 게시할 내용은 전체 임직원 가운데 정보기술(IT) 담당인력과 그 중 정보보호 전담인력의 고용 규모, 정보보호 기술에 투자한 예산의 액수, 정보보호 수준을 높이기 위해 취득한 인증 이력과 정보보호 관련 점검·교육 활동 등을 포함한다.
실제 의무 부과 대상은 내년 초 당국의 조사를 통해 확정되지만, 업계 선두에서 포털·인터넷 서비스, 온라인 유통·음식배달 서비스, 택시호출·차량공유를 포함하는 모빌리티 서비스, 온라인 동영상 스트리밍 서비스, IT인프라를 제공하는 퍼블릭 클라우드서비스 운영사들이 유력 후보다. 네이버, 카카오, 배달의민족, 쿠팡, 웨이브와 국내 법인을 두고 이들과 경쟁하는 해외 업체도 해당한다.
이번 공시 의무화에 따라 내년 처음으로 인력·예산 등의 정보보호 투자와 관련 현황을 공개할 기업은 수백개로 추산된다. 올해까지 매년 수십 건에 불과했던 정보보호 공시 사례가 여러 업종별 기업들의 의무 이행으로 훨씬 더 빨리 늘 것으로 보인다. 이는 장기적으로 업계의 정보보호 분야 기술·인력 투자에 대한 관심을 환기하고, 정보보호 수준을 끌어올리는 계기로 작용할 전망이다.
정보보호 공시 시행 6년…사이버위협·피해 확산에 확대 필요성 대두
정보보호 공시는 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 현황을 공개하도록 한 제도다. 지난 2016년 정보보호산업의 진흥에 관한 법률을 근거로 처음 도입됐다. 기업의 자율로 이뤄진 정보보호 공시 사례는 2016년 2건, 2017년 10건, 2018년 20건, 2019년 30건, 2020년 45건, 올해 49건(22일 현재 누적)으로 점차 늘고 있다.
그런데 최근 수년간 전산망에 침입해 시스템을 감염시키고 데이터를 못 쓰게 만드는 악성코드인 '랜섬웨어'의 위협과 피해 사례가 급증하는 추세다. 국내 랜섬웨어 피해 사례는 제조·정보서비스·도소매 등 업종을 가리지 않고 발생하고 있다. 연간 랜섬웨어 발생 규모가 당국에 접수된 신고 건수 기준으로 올해(22일 현재 누적)만 219건을 기록해, 과거 3년치(2018~2020년)를 넘어섰다.
정부는 지난 2017년부터 해킹과 랜섬웨어 등 점차 고조되는 사이버위협과 피해가 확산하고 있음을 고려해 공시 제도를 확대 시행할 필요성이 크다고 보고, 정보보호 공시 의무화를 추진해 왔다. 김상희 국회 부의장이 관련 근거를 담아 지난 2020년 9월 대표 발의한 법 개정안이 올해 6월 국회를 통과했다. 이후 하반기동안 시행령 등 하위법령이 정비돼 지난 9일부터 시행됐다.
앞서 법 개정 후 하위법령 정비를 위해 관련 부처, 기업 정보보호최고책임자(CISO), 협회, 변호사·회계사·교수 등 이해관계자와 산·학·연 전문가를 포함하는 연구반을 구성해 운영했다. 연구반 논의로 일정 요건을 충족하는 사업자에 정보보호 공시 의무를 부과하고, 규모가 작거나 다른 법령의 유사한 의무를 따르는 곳을 예외를 두는 등 구체적인 규정을 새로 마련했다.
CISO두는 3000억 매출 상장사, 일100만명 이용 서비스 운영사 포함
신설된 규정에 따르면 정보보호 공시 의무가 부과되는 기준 중 하나로 '사업분야'가 있다. 전기통신사업법상 회선설비를 보유한 ISP, IDC를 통해 개인·기업용 호스팅 시스템이나 코로케이션 서비스를 제공하는 정보통신망법상 '집적정보통신시설 사업자', 클라우드컴퓨팅법상의 '클라우드컴퓨팅서비스제공자', 의료법상의 '상급종합병원' 등이 의무적으로 정보보호 공시를 해야 한다.
이 분야에 해당하지 않더라도 CISO를 지정·신고하고 연간 매출 규모가 3000억원 이상인 상장사(유가증권시장·코스닥)이거나, 일일평균 이용자수가 100만명 이상인 정보통신서비스를 운영하는 기업은 정보보호 공시 의무를 띤다. 정부는 당초 CISO 지정 여부 조건 없이 '매출 500억원 이상인 상장사'나 '일평균 이용자수 10만명 이상인 서비스 운영사' 기준을 검토했다가 완화했다.
위 기준에 포함되더라도 공공기관운영법상의 공기업과 준정부기관 등 '공공기관'이거나, 전자금융거래법상의 은행·보험·카드 등 '금융회사'이거나, 정보통신업 또는 도·소매업을 주 사업으로 하지 않는 '전자금융업자'는 공시 의무 부과 대상에서 제외된다. 또 중소기업기본법 시행령에 따라 평균매출액이 업종별 기준(10억~120억원) 이하인 '소기업'도 공시 의무를 부과받지 않는다.
정부는 정보보호 공시 의무가 부과되는 기업을 파악해 개별 통보할 예정이다. 의무 대상 기업은 내년부터 기간 내에 정보보호 공시를 해야 한다. 이전까지는 명확한 이행 기간 규정이 없었지만 신설된 규정에 따르면 매년 6월 30일까지 전년도의 정보보호 현황을 제출해야 한다. 이를 위반하는 기업에는 상황에 따라 작게는 수백만원에서 최대 1000만원의 과태료가 부과된다.
"연내 정보보호 공시 가이드라인 개정, 자율 참여 인센티브 마련 중"
정부는 그간 정보보호 과거의 공시 사례를 검토한 결과, 자율적으로 공시에 참여한 기업들이 정보보호 분야 투자 예산과 인력을 확대한 것으로 파악했다. 의무화를 통해 새롭게 공시를 준비하고 이행하는 기업들도 이와 마찬가지로 정보보호 분야에 더 힘을 쏟고, 조직의 정보보호를 위한 제도에 더 큰 책임감을 가질 것이라고 기대 중이다.
제도 소관 부처인 과기정통부와 한국인터넷진흥원(KISA)은 내년 기업들이 공시 의무를 원활하게 이행하도록 지원할 예정이다. 정보보호 공시 전 과정에 대한 컨설팅과 교육 등을 운영하고, 연내 공시 가이드라인을 개정해 발표할 계획이다. 가이드라인은 이번에 도입된 의무 대상의 범위와 기준, 의무 이행기간과 미이행시 부과되는 과태료, 의무 예외 규정 등에 대한 설명을 제시한다.
정부는 정보보호 공시 이행을 독려하기 위해 2년 이상 연속으로 공시를 이행한 기업에 '공시 성실성'과 여러 정보보호 노력을 평가해 정보보호 공시 우수 기관·단체를 선정하고 과기정통부 장관 표창을 수여할 예정이다. 또, 정보통신서비스 제공자는 자율 공시를 진행함으로써 KISA의 정보보호관리체계(ISMS)·개인정보보호관리체계(ISMS-P) 인증 수수료 30% 할인 혜택을 받게 된다.
[그래픽=임이슬 기자]
