지난해 정보보호 공시 첫 의무화…사후검증 결과는?

[아이뉴스24 김혜경 기자] 지난해 정보보호 공시 첫 의무화가 시행되면서 국내 주요 기업의 정보보호 투자 현황이 공개됐다. 오는 2025년부터 도입될 ESG(환경·사회·지배구조) 공시와 맞물릴 가능성이 높은 가운데 허위·불성실 공시에 대한 사후검증을 강화해야 한다는 지적이 나온다.

지난해 정보보호 공시 첫 의무화가 시행되면서 국내 주요 기업의 정보보호 투자 현황이 공개됐다. 오는 2025년부터 도입될 ESG(환경·사회·지배구조) 공시와 맞물릴 가능성이 높은 가운데 허위·불성실 공시에 대한 사후검증을 강화해야 한다는 지적이 나온다. [사진=픽사베이]

5일 과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면 지난달 발표한 '정보보호 공시 현황 분석보고서'에는 627개사의 정보보호 투자 현황 등을 분석한 내용이 담겼다. 이중 의무공시 기업은 565곳, 자율공시는 62곳이다.

당초 공시 의무대상 사업자로 지정된 곳은 603곳이다. ▲기간통신사업자 39곳 ▲데이터센터 사업자 31곳 ▲상급종합병원 33곳 ▲클라우드 컴퓨팅 서비스 제공 사업자 12곳 등이다. 이와 함께 전년도 매출액이 3천억 원 이상인 기업 464곳, 일평균 이용자 수가 100만 명 이상인 기업 24곳이 포함됐다.

이중 흡수합병 2곳과 금융위원회 예외기준에 해당하는 3곳을 제외, 지난해 6월말 기준 총 598개 기업이 의무 대상자로 최종 확정됐다. 이번에는 보고서 작성 시점인 11월 21일까지 정정 공시를 완료한 기업만 포함돼 의무 대상자 기준 565개사를 제외한 33개사 가운데 일부는 정정 공시 등을 이유로 제외됐다.

KISA 관계자는 "보고서 작성 시점까지 정정공시를 완료한 기업은 사후검증 대상 40개사 가운데 29개사"라면서 "사후검증 이후 정정 공시는 12월 말까지 진행됐으며 모든 정정공시 결과가 보고서에 반영되지는 않았다"고 말했다.

정보보호 공시제도는 2015년 6월 '정보보호산업의 진흥에 관한 법률'이 제정되면서 시행 근거가 마련됐다. 제13조에 의거해 정보보호 투자·인력·인증 현황 등 기업의 정보보호 현황을 자율적으로 공개하는 제도다. 제도 활성화를 위해 정부는 2019년 가이드라인을 개정하면서 유인책 마련에 나섰지만 가시적인 성과는 이끌어내지 못했고, 올해 일부 기업들을 대상으로 의무공시가 시작된 것이다.

해당 제도는 기업의 정보보호 현황을 소비자와 주주, 기업관계자 등에 제공해 기업의 정보보호 책임을 높인다는 취지에서 시작됐다. 기업의 재무상태 변화에 영향을 미칠 수 있는 정보보호 현황에 대해 공개함으로써 주주의 알 권리를 확보하고, 소비자 선택권을 강화할 수 있다는 데 의의가 있다.

정보보호 공시에는 ▲정보보호 투자 현황 ▲정보보호 인력 현황 ▲정보보호최고책임자(CISO)‧개인정보보호책임자(CPO) 선임 ▲정보보호 인증‧평가‧점검에 관한 사항 ▲이용자 정보보호를 위한 활동 현황이 포함돼야 한다. 정보보호 인증 부문에는 ▲정보보호‧개인정보보호 관리체계 인증 ▲정보보호 준비도 평가 ▲클라우드 서비스 보안인증(CSAP) 등이 포함됐다.

정보보호 공시는 앞서 관계부처 합동으로 발표한 'K-ESG 가이드라인' 평가항목과도 연계됐다. 사회(S) 부문 중 '정보보호 시스템 구축' 항목에는 ▲CISO 선임 ▲정보보호 시스템 인증 ▲모의해킹 등 취약성 분석 ▲보험가입 여부를 비롯해 정보보호 공시 이행여부가 포함됐다.

'정보보호 공시 가이드라인'에 따르면 사전 점검 확인서를 제출한 기업을 제외한 나머지 사업자는 사후검증 대상에 포함된다. KISA는 공시 점검단을 통해 사후검증을 실시했다. 공시 점검단은 회계사, 정보시스템 감리사 등 10여명의 전문가로 구성됐다.

공시 점검단은 투자액·인력 현황 증명 자료, 정보보호 관련 인증서 등 각 기업이 정보보호 현황 산정을 위해 사용한 자료를 대상으로 누락되거나 잘못된 부분이 없는지 검토한다. 사후검증 기업을 대상으로 정보보호 현황을 검토한 후 KISA에 결과 보고서를 제출하게 된다. 공시 점검단의 보고서에서 허위 공시로 판단될 경우 해당 내용은 심의위원회에 전달돼 심의·의결 절차를 거친다.

문제는 특정 기업이 사후검증을 거부하는 경우 이를 강제할 법적 근거가 없다는 점이다. 사후검증이 기업의 협조를 전제로 운영되고 있기 때문이다.

의무 대상 기업이 공시 의무를 위반할 경우 1천만원 이하 과태료 처분을 받지만 사후검증으로 허위 내용 등이 발견될 경우 제재 가능한 수단이 현 시점에서는 없다. 사후검증과 제재 수단을 강화, 공시자료의 신뢰성을 확보해야 한다는 의견이 나온다.

최근 국회입법조사처가 발간한 '정보보호 공시 의무화의 의의와 향후 과제' 보고서에 따르면 사후검증 대상 표본으로 선정된 40개사 중 1개사가 사후검증에 필요한 자료 제출을 거부했다.

입법조사처는 "의무공시 시행 첫해로 허위·불성실 공시에 대한 검증과 제재 필요성이 큰 상황"이라며 "소요 예산 미확보 등의 문제로 사후검증 대상 기업 346개사 중 표본으로 선정된 39개사에 대해서만 사후검증이 진행됐다"고 전했다. 이어 "사후검증 대상에서 제외하는 것 외에 별다른 제재가 없었음을 고려할 때 입법적 보완이 필요할 것으로 보인다"고 덧붙였다.

앞서 국회 과학기술정보방송통신위원회 박성중 의원(국민의힘)은 '정보보호 산업의 진흥에 관한 법률 일부 개정안'을 대표 발의한 바 있다. 기업이 공개하는 정보보호 공시 자료의 정확성과 신뢰성을 높이고, 현행 정보보호 공시제도의 실효성을 확보한다는 취지다. 개정안은 공시 내용 정정 거부에 대한 과태료 부과 등의 내용을 담고 있다.

/김혜경 기자(hkmind9000@inews24.com)