보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

2021년 12월 시행 ‘정보보호 공시 의무화’... 고민 커진 기업들의 대안은?

  |  입력 : 2021-06-11 10:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정보보호산업진흥법 개정안 국회 통과...기업들의 정보보호 공시 의무화
정보보호 공시에 따른 실질적 효과 미미...기업들 “힘들게 공시해도 얻는 것 없어”
정보보호는 당연히 해야 하는 것...혜택 얻고자 ‘공시’에만 집중하면 의미 없어


[보안뉴스 원병철 기자] 정보보호산업진흥법 개정으로 기업들의 정보보호 공시가 의무화되면서 기업들의 고민이 커지고 있다. 그동안 자율공시로 원하는 기업들만 참여했던 ‘정보보호 공시제도’가 이번 법 개정으로 의무화되면서 일정규모 이상의 기업은 반드시 정보보호 관련 자료를 공시해야 하는 것으로 바뀌었으며, 위반시 1,000만원 이하의 과태료가 부과되기 때문이다. 다만, 의무대상 기준은 하반기 중 대통령령으로 공포될 예정이다.

[이미지=utoimage]


아직 기준이 공표되지는 않았지만, 어느 정도 규모가 있는 기업들은 정보보호 공시에 대한 준비를 해야 하는 상황이다. 문제는 정보보호 공시제도를 준비하지 않았던 기업들이 갑작스럽게 추진해야 하는 만큼 여러 가지 어려움이 있다는 점이다.

우선 정보보호 공시제도가 무엇인지 알아보자. 정보보호 공시제도는 2015년 12월 시행된 ‘정보보호산업진흥법’에 따라 상장기업의 보안투자 및 활동내역을 공시하는 제도로 탄생했다. 상장기업들이 기업경영 현황에 대한 분기별, 연도별 보고서를 내는 것과 같이 기업의 정보보호 현황에 대한 내용을 공시해 사용자들이 기업의 보안 측면을 믿고 사용할 수 있도록 한다는 취지에서 시행됐다.

당시 주관부처인 미래창조과학부(현 과학기술정보통신부)는 실효성 확보를 위해 기업에 대한 혜택과 공시내용의 적성성, 표준화된 평기 기준 마련 등과 관련한 설명회를 개최하는 등 많은 노력을 기울였다. 특히, 정보보호 관리체계(ISMS) 인증시 수수료 할인이 적용되는 중소기업 또는 인증 심사 일부를 생략할 수 있는 조건에 해당되는 기업이 정보보호 공시를 할 경우 10%가 추가 할인돼 최대 40%까지 수수료 할인 혜택을 받을 수 있으며, 이미 ISMS 인증 및 정보보호 준비도 평가 수행기업이 공시를 할 경우 정보보호 투자 우수기업으로 선정될 수 있다.

하지만 강제성이 없는 정보보호 공시제도는 기업들의 참여가 저조했다. 2018년 12월까지 22개 기업만이 참여했으며, 2020년 기준으로 총 45개의 기업만이 자발적으로 공시를 했을 뿐이다.

그렇다면 기업들은 왜 정보보호 공시제도를 외면해 왔을까? 가장 큰 이유는 ‘강제성’이 없기 때문에 ‘비용’과 ‘시간’이 소요되는 공시를 굳이 할 필요를 못 느꼈기 때문이다. 실제 한 기업의 보안 책임자는 “실질적인 혜택이 없다”라면서, “제도 및 참가기업에 대한 홍보를 강화하고 참여기업에 대한 혜택이 확대됐으면 좋겠다”고 말했다.

즉, 정보보호 공시를 했을 때 기업이 정부로부터 받는 지원이나 대외적인 홍보효과가 미미하다는 것이 기업의 판단이다. 한 병원의 보안담당자는 “공시제도가 사회적으로 인식이 부족하다보니 참여 효과를 체감하기 쉽지 않다”며 아쉬움을 토로했다.

문제는 이번 정보보호산업진흥법 개정안으로 정보보호 공시가 의무화되면서 별도의 혜택을 주는 것이 애매해졌다는 점이다. 특히, 공시를 하지 않을 경우 1,000만원 이하의 과태료가 부과되는 상황에서 공시를 했다고 혜택을 주기는 쉽지 않아 보인다. 이와 관련 한국인터넷진흥원(KISA)은 “기업에 대한 인센티브는 계속 논의 중인 사항”이라면서, “의무기업이 공시를 할 경우와 의무기업이 아닌 기업이 공시를 할 경우, 투 트랙으로 논의 중”이라고 밝혔다.

KISA 컨설팅 이용할 경우 정보보호 공시에 비용 들어가는 것 없어
그렇다면, 실제 정보보호 공시를 진행하는 것은 어떤 어려움이 있을까? 정보보호 공시제도는 정보기술부문과 정보보호부문에 대한 투자액과 인력, 정보보호 관련 인증 및 평가 등을 고스란히 공개해야 한다. 문제는 기업들은 실제 투자액과 비율, 그리고 인력현황을 산출하는 것에 어려움을 겪고 있다는 점이다. 대기업이나 상장기업의 경우 정보기술 및 정보보호에 대한 투자액과 비율을 파악하고 있지만, 중소기업들은 이러한 투자액까지 파악하지 못하는 경우가 대부분이다. 게다가 기업들은 정보기술부문 투자액과 정보보호부문 투자액 등 회사의 기밀에 해당하는 운영비용을 공개하는 것 자체에 대해서도 거부감이 있다. 인력 운용 또한 마찬가지다.

KISA는 이러한 고충을 조금이나마 해소하는 등 정보보호 공시제도 의무화에 대응하기 위해 ‘무료 컨설팅’을 제공하고 있다. 2015년 공시제도가 시작한 이후 꾸준하게 해오고 있으며, 이번 의무화에 맞춰 예산과 인력을 확충하고 있다. KISA 보안산업기반팀의 정원기 팀장은 “기업의 규모나 업종에 따라 투자액과 인력에 대한 판단기준이 다를 수 있다”면서, “컨설팅은 이렇게 기업이 판단하기 어려운 부분에 대한 판단을 내리는 것을 돕는다”고 설명했다. 이어 “기업이 감리 및 회계법인을 통해 회계감사 보고서를 내는 것처럼 감리 및 회계법인을 이용해 정보보호 공시를 받는 기업이 있기 때문에 감리 및 회계법인을 대상으로 한 교육도 준비하고 있다”고 밝혔다.

개정된 정보보호산업진흥법이 2021년 12월 시행되면 해당 기업들은 2021년을 기준으로 2022년에는 정보보호 공시를 시행해야 한다. 이 때문에 KISA는 컨설팅을 강화하는 것은 물론 가이드라인과 해설서도 발간할 계획을 갖고 있다. 일부 보안전문가들은 아직까지 의무기업 기준이 나오지 않아 준비를 미루고 있는데, 가능성이 있는 기업들은 차라리 이때 컨설팅 등을 통해 미리 정보보호 공시를 추진하는 것도 좋은 방안이 될 수 있다고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북