정보보호 공시 의무화 '첫발'…사후 검증 이렇다 [데이터링]

[아이뉴스24 김혜경 기자] 지난달 30일 603개 기업을 대상으로 한 정보보호 의무공시가 마무리됐다. 공시의무 대상 기업이 이날까지 자료를 제출하지 않았을 경우 최대 1천만 원의 과태료를 부과받는다. 정부는 신뢰성 확보를 위해 공시 점검단을 구성, 각 기업이 제출한 정보보호 현황 자료에 대해 사후 검증을 실시한다는 방침이다.

3일 한국인터넷진흥원(KISA)에 따르면 지난 30일 기준 '정보보호 공시 종합 포털'에 등록 완료된 국내 기업은 총 631개사다. 공시 의무자로 지정된 598곳을 제외하고 자율적으로 공시를 이행한 기업도 포함된 가운데 현재 KISA는 구체적인 공시 현황을 집계하고 있다.

의무 대상 사업자는 ▲기간통신사업자 39곳 ▲데이터센터 사업자 31곳 ▲상급종합병원 33곳 ▲클라우드 컴퓨팅 서비스 제공 사업자 12곳 등이다. 이와 함께 전년도 매출액이 3천억 원 이상인 기업 464곳, 일평균 이용자 수가 100만 명 이상인 기업 24곳이 포함됐다.

정보보호 공시제도는 2015년 6월 '정보보호산업의 진흥에 관한 법률'이 제정되면서 시행 근거가 마련됐다. 제13조에 의거해 정보보호 투자·인력·인증 현황 등 기업의 정보보호 현황을 자율적으로 공개하는 제도다. 제도 활성화를 위해 정부는 2019년 가이드라인을 개정하면서 유인책 마련에 나섰지만 가시적인 성과는 이끌어내지 못했고, 올해 일부 기업들을 대상으로 의무공시가 시작된 것이다.

해당 제도는 기업의 정보보호 현황을 소비자와 주주, 기업관계자 등에 제공해 기업의 정보보호 책임을 높인다는 취지에서 시작됐다. 기업의 재무상태 변화에 영향을 미칠 수 있는 정보보호 현황에 대해 공개함으로써 주주의 알 권리를 확보하고, 소비자 선택권을 강화할 수 있다는 데 의의가 있다.

정보보호 공시에는 ▲정보보호 투자 현황 ▲정보보호 인력 현황 ▲정보보호최고책임자(CISO)‧개인정보보호책임자(CPO) 선임 ▲정보보호 인증‧평가‧점검에 관한 사항 ▲이용자 정보보호를 위한 활동 현황이 포함돼야 한다. 정보보호 인증 부문에는 ▲정보보호‧개인정보보호 관리체계 인증 ▲정보보호 준비도 평가 ▲클라우드 서비스 보안인증(CSAP) 등이 포함됐다.

정보보호 공시는 앞서 관계부처 합동으로 발표한 'K-ESG(환경‧사회‧지배구조) 가이드라인' 평가항목과도 연계됐다. 사회(S) 부문 중 '정보보호 시스템 구축' 항목에는 ▲CISO 선임 ▲정보보호 시스템 인증 ▲모의해킹 등 취약성 분석 ▲보험가입 여부를 비롯해 정보보호 공시 이행여부가 포함됐다.

KISA는 공시 점검단을 통해 사후 검증을 실시할 계획이다. 공시 점검단은 투자액‧인력 현황 증명 자료, 정보보호 관련 인증서 등 각 기업이 정보보호 현황 산정을 위해 사용한 자료를 대상으로 누락되거나 잘못된 부분이 없는지 검토한다.

KISA 관계자는 "공시 점검단은 회계사와 정보시스템감리사, 정보보호 전문가 등 정보보호 현황 자료에 대해 판단 기준을 제시할 수 있는 전문가로 구성할 계획"이라며 "검증단 규모는 사후 검증 대상 기업의 유형을 고려해 배치‧운영할 것"이라고 말했다.

'정보보호 공시 가이드라인'에 따르면 사전 점검 확인서를 제출한 기업을 제외한 나머지 사업자는 사후 검증 대상에 포함된다. 공시 점검단은 이들 기업을 대상으로 정보보호 현황을 검토한 후 KISA에 결과 보고서를 제출하게 된다.

공시 점검단의 보고서에서 허위 공시로 판단될 경우 해당 내용은 심의위원회에 전달돼 심의‧의결 절차를 거칠 예정이다. KISA 관계자는 "제도 이행 초기라는 점을 감안했을 때 기업들이 자료 작성에 어려움이 있었을 것이라고 예상된다"며 "허위 공시 등으로 판단한 경우 정정 공시가 이뤄질 수 있도록 지원할 계획"이라고 말했다.

김혜경 기자의 다른 기사 보기

• ESG 경영하려면…'정보보호' 공시 의무

• '정보보호 공시 의무화' 한달 앞두고 업계 '술렁'