Home > Security

정보보호산업진흥법 개정으로 의무화되는 정보보호 공시, 의무대상 기업은?

  |  입력 : 2021-04-19 14:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
현재 국회 제출된 정보보호산업진흥법 개정안...가결 시 6개월 뒤 시행
진흥법 개정안, 정보보호 공시 의무화 및 의무 불이행시 처벌조항 등 신설
공시 의무화 대상 기업은 ‘ISMS 인증’ 의무 기업 등으로 좁혀질 전망


[보안뉴스 이상우 기자] 한국철도공사, 서울교통공사, 부산교통공사 등 국내에서 지하철, 기차 등을 운영하는 철도운영자는 차량 교체, 시설 개량 등 철도안전과 관련한 분야에 투자하는 예산 규모를 매년 의무적으로 공시하는 ‘철도안전투자 공시’제도를 운영하고 있다. 국민의 주요 교통수단 중 하나인 철도운영자가 이익을 위해 안전에 관한 투자를 등한시하고 있지는 않는지 확인하기 위한 제도다.

[이미지=utoimage]


정보보호산업의 진흥에 관한 법률(이하 정보보호산업진흥법)에서도 이와 유사한 조항을 두고 있다. 정보보호산업법 제13조에서는 정보보호 공시제도를 통해 정보통신망을 이용하는 사업자가 이용자의 안전한 이용환경을 구축하기 위해 얼마나 투자하고 있는지 공개하도록 하고 있다. 다만, 철도안전투자 공시제도와 달리 자율공시이며, 공시한 기업에 대해 정보보호 관리체계 인증 수수료를 감면하는 등의 일부 혜택을 주는 방식으로 운영 중이다.

의무 공시가 아니기 때문인지 자발적으로 공시를 선택한 기업은 2020년을 기준으로 45개에 불과하다. 이에 따라 최근 해킹을 통한 개인정보 유출 등 사이버 공격이 늘어나는 상황에서 소비자는 도대체 어떤 인터넷 서비스를 믿고 사용해야 하는지 판단하기 어려운 상황이다.

이에 따라 과학기술정보통신부는 지난해 10월, 정보보호 공시 의무화 조항 및 의무 불이행에 따른 처벌 조항을 신설하는 정보보호산업진흥법 개정안을 입법예고했다. 해당 개정안은 현재 국회에 제출된 상태이며, 가결 및 공포 이후 6개월 뒤부터 시행될 예정이다. 이에 올해 말 경에는 대통령령으로 정하는 일정 규모 이상의 온라인 서비스 기업은 의무적으로 정보보호 관련 사항을 공시해야 할 것으로 전망된다.

예정대로 진행될 경우 과학기술정보통신부는 오는 12월, 규제 대상 기업이 공시 의무를 제대로 이행하고 있는지 점검하며, 2023년 12월에는 공시 이행률 3개년 추세를 고려해 피규제 대상을 재검토할 계획이다. 또한, 한국인터넷진흥원도 의무화에 대비해 현재 자율공시 대상 기업(ISP, 온라인 서비스 기업 등)을 대상으로 무료 컨설팅을 진행한다고 밝힌 바 있다.

기업 정보보호 역량 강화 기회...정보보호 투자 및 제품·서비스 수요 확대 기대
앞서 언급한 것처럼 현행 정보보호산업진흥법 제13조 1항에 따라 정보통신망을 통한 정보제공 및 정보제공을 매개하는 자가 이용자의 안전한 인터넷 이용을 위해 정보보호 투자 및 인력현황, 정보보호 관련 인증현황 등을 공개할 수 있으며, 2항에 따라 정보보호 현황을 공개한 자가 ISMS 인증심사를 받을 경우 납부해야 할 수수료의 30%를 할인받을 수 있다.

현재 국회에 제출된 개정안은 기존 제2항을 제3항으로 변경하고, 제2항에 ‘제1항에도 불구하고 사업분야 및 규모 등이 대통령령으로 정하는 기준에 해당하는 자의 경우에는 정보보호 현황을 공시해야 한다’는 내용이 추가됐다. 즉, 기본적으로는 자율공시로 운영하되, 피해 발생 시 많은 사용자에게 영향을 줄 수 있는 일정 규모 이상의 기업은 의무적으로 공시하도록 한 방식이다.

이와 함께 제41조 제1항 제1호를 신설해(기존 1~3호는 2~4호로 변경) ‘제13조 제2항에 따른 정보보호 현황을 공시하지 아니한 자’를 추가해 의무대상자가 공시를 이행하지 않을 경우 최대 1,000만 원의 과태료를 부과하는 등 처벌 조항도 마련했다.

이번 개정안은 사이버 보안사고가 증가하면서 이를 통한 기업·소비자의 피해가 늘어나고 있는 상황이지만, 정보보호 공시에 대한 기업들의 참여가 저조함에 따라 사업 분야 및 규모를 고려해 공시를 의무화함으로써 침해사고 예방 및 대응 역량을 높이겠다는 목적으로 추진됐다. 특히, 기업 정보보호 투자 촉진과 정보보호 제품·서비스 수요 확대를 통해 시장 활성화 및 선순환 생태계 기반을 조성하는 등 정보보호산업진흥법 입법 취지에도 부합한다는 것이다.

피규제 대상에서 중소·영세기업, 연관성 낮은 업종 등은 제외될 것으로 보여
개정안 논의 초기에는 모든 기업을 대상으로 공시 의무를 부여하는 방안도 검토했으나, 제조업 등 상대적으로 정보기술 및 정보보호와 연관성이 낮은 업종이나 중소·영세기업의 경영현실에 대한 고려도 필요하다는 의견을 반영했다. 이에 따라 정보보호 중요성이 높은 사업 분야 및 기업규모 등을 고려해 일부 기업만 정보보호 공시 의무 대상으로 규정할 것으로 보인다.

잠정적으로 의무공시 대상이 되는 기업은 ‘침해사고 발생 시 피해가 클 것으로 예상돼 정보보호 강화 필요성이 크고, 매출액이 일정규모 이상인 기업’이다. 향후 공정거래위원회의 기업집단 기준(자산총액 5조 원 이상은 공시대상 기업집단)이나 정보보호최고책임자(CISO) 겸직금지 대상 기준(자산총액 5조 이상 혹은 ISMS 인증의무 대상 중 자산총액 5,000억 원 이상인 기업) 등을 고려해 공시 의무 대상 기업 기준을 확정할 계획이다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)