[사진=게티이미지뱅크]
올해 정보보호 공시 의무 대상 기업 152개를 선별한 1차 명단이 발표됐다. 정보기술(IT) 업계에서 작년 물적 분할로 신설된 클라우드 전문기업 KT클라우드와 NHN클라우드, 데이터센터 운영업체 디지털리얼티, 정보보호 전문 기업 안랩, 앱 장터 원스토어 운영사와 사회관계망서비스(SNS) 틱톡 운영사가 추가됐다.
13일 한국인터넷진흥원(KISA)은 정보보호 공시 종합 포털을 통해 국내외 기업 152개를 포함하는 2023년 정보보호 공시 의무자 명단을 공개하고 “2023년 정보보호 공시 의무자는 정보보호 공시 내용 양식과 사후 검증 동의서를 과학기술정보통신부 정보보호 전자공시시스템을 통해 6월 30일까지 제출해 달라”고 공지했다.
정보보호 공시는 기업의 정보보호 관련 전담 업무를 수행하는 인력 규모와 기술·인증·교육 등 정보보호 분야 투자 예산 등 현황을 외부에 공개하게 하는 제도다. 정부는 기업이 이를 통해 이용자 개인정보 보호와 비즈니스 연속성 보장 노력을 드러내고 소비자·투자자 대상 브랜드 신뢰도와 기업 가치를 높일 수 있다고 강조한다.
당초 정보보호 공시는 2016년 정보보호산업 진흥에 관한 법률을 근거로 처음 도입돼 자율 운영되다가 2022년부터 일부 기업에 공시 의무가 부과되고 있다. 기간통신사, 데이터센터·클라우드서비스 운영사, 상급종합병원, 매출 3000억원 이상인 상장사, 일평균 이용자 100만명 이상인 서비스 운영사 등이 의무 대상에 포함된다.
상장사가 연간 매출 액수와 같은 경영 실적 관련 수치를 확정하기 위해 회계 감사를 받고 주주총회에서 이사회 승인 등을 받아야 한다. 그래서 KISA가 이번에 공개한 1차 명단에는 매출 기준으로 선별되는 상장 기업이 포함되지 않았다. KISA 측은 “매출 기준 정보보호 공시 의무자 공개는 4월 중 진행될 예정”이라고 말했다.
공시 의무자로 확정되는 기업은 올해 6월 30일까지 2022년 전체 IT 부문 투자액과 그중 정보보호 부문 투자액·비율을 공개해야 한다. 전체 인력 수, IT 부문 인력 수, 그중 정보보호 부문 전담인력 수·비율, 정보보호 전담인력 구성(내부·외주)까지 밝혀야 한다. 정보보호와 개인정보 보호 책임자 직급도 제시해야 한다.
이 의무는 국내 기업뿐 아니라 국외에 본사를 두면서 국내 사업장을 통해 한국 시장에서 사업을 영위하는 다국적 기업에도 적용된다.
그런데 기존 의무 대상 기업 중 메타, 구글, 트위터 등 글로벌 기업이 공시한 사항을 보면 구체적인 정보보호 투자 규모나 인력 현황을 알기 어렵게 돼 있다.
다국적 온라인 플랫폼, SNS, 클라우드 기업 대다수가 공시한 내용을 보면 기본 사항인 투자·인력 수를 숨긴 채 자사 기업·제품 홍보용으로 발표했던 인증획득·연구활동만 소개하고 있다. 넷플릭스는 다국적 기업 가운데 드물게 국내 정보보호 투자·인력 규모를 별도로 산정해 공시했다.
정보보호 공시 의무 대상 기업이 정보보호 공시 의무를 이행하지 않을 때 현행법상 이를 제재할 수단은 과태료 최대 1000만원뿐이다. 2021년 공시 의무화를 논의하는 과정에서 공시 의무를 부과할 상장사 매출 하한선을 높이는 등 범위를 축소하며 전반적인 기업 부담을 완화하는 법령 개정이 함께 이뤄진 결과다.
결국 전반적으로 공시 의무를 성실히 이행한 곳은 네이버, 카카오, 우아한형제들 등 대부분 국내 기업이다.
과기정통부·KISA가 선별한 공시 의무 대상자 명단에는 다국적 기업 가운데 특정 회사는 의무 대상이 되고 그와 동종 업계 소속으로 경쟁 관계인 다른 기업은 제외되는 등 모호한 측면도 있어 형평성 시비가 일 여지도 있다.
[그래픽=임이슬 기자]
