일러스트=챗GPT

정보보호 공시 의무제도가 시행된 지 4년 차를 맞은 가운데 제도 보완이 필요하다는 지적이 나오고 있다. 의무·자율공시 기업들은 정보기술 및 정보보호 부문 투자액과 인력 현황을 공개하고 있지만, 세부 내용은 공개되지 않아 실제 보안 수준을 가늠하기가 어렵다는 한계가 지적된다. 또 대다수 중소·중견 기업이 의무 공시대상에서 제외돼 산업 전반의 보안 수준을 가늠하기가 어려우며, 외국계 기업의 정보 공개 거부로 형평성에 어긋난다는 지적이 나온다.

30일 보안업계에 따르면 국내 주요 기업들의 지난해 정보보호 공시 이행기한이 이날 마감된다. 한국인터넷진흥원(KISA)이 운영하는 정보보호 공시제도는 기업의 정보보호에 대한 투자를 촉진하고 사용자 보호를 위해 정보보호 투자액, 전담 인력 및 관련 활동 등 기업의 정보보호 현황을 공시하는 제도다. 2015년 도입돼 자율적인 공시로 이뤄져 왔으나 기업의 정보보호 역량 강화 필요성이 커지면서 2022년부터 일부 기업에 대해 공시 의무가 부여됐다. 대상 기업은 매년 6월 30일까지 관련 내용을 의무적으로 공시해야 한다.

현재 의무공시 대상 기업은 사업분야, 매출액, 이용자 수 등을 고려해 다음과 같은 기준에 해당하는 곳이다. 사업 분야를 기준으로 ▲회선설비 보유 기간통신사업자 ▲집적정보통신시설 사업자 ▲상급종합병원 ▲클라우드컴퓨팅 서비스 제공자 등은 의무공시 대상이다. 규모 기준으로는 정보보호최고책임자(CISO)를 지정·신고해야 하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3000억원 이상이 의무공시 대상이다. 이 밖에 정보통신 서비스 일일 평균 이용자 수가 100만명 이상인 기업도 의무 기준에 속한다.

자율공시도 가능하다. 정보통신망을 통해 정보를 제공하거나 정보 제공을 매개하는 기업이라면 이해관계에 따라 자율공시를 이행할 수 있다. 정보보호 현황을 자율 공시한 경우에는 공시 시점부터 1년 내 정보보호 및 개인정보보호 관리체계(ISMS) 인증심사 수수료를 30% 할인받을 수 있다. 또 KISA는 공시 기업에 정보보호 투자 우수 기업 표기를 해주며 정보보호 공시를 성실히 수행한 일부 기업을 대상으로는 과학기술정보통신부 장관 표창도 수여된다. 공시 의무가 없더라도 기업들이 자발적으로 보안 투자 현황을 공개하도록 유도하는 인센티브 전략이다.

다만 업계에서는 정보보호 공시 의무제도가 여러 허점이 있다고 지적한다. 공시는 기업들의 정보보호 부문 투자액, 인력 수, 정보보호최고책임자(CISO)·개인정보보호책임자(CPO) 지정 여부만 공개해 구체적인 내용은 제공하지 않는다. 투자액과 인력이 어느 부분에서 어떻게 활용되는지 알 수 없어 실질적인 보안 수준을 파악하기가 어렵다는 한계가 있다. 의무 기준 또한 높다. 의무공시 대상이 연 매출 3000억원 이상으로 국한돼 있다.

(왼쪽부터) 삼성SDS와 한국IBM의 정보보호 현황 자료. 구체적인 수치를 표기한 삼성SDS와 달리 한국IBM은 세부내역을 공개하지 않고 있다. /KISA 정보보호 공시 포털 캡처

외국계 기업의 정보 공개 거부도 문제로 지적되고 있다. 한국마이크로소프트, 한국IBM, 아마존웹서비스, 한국오라클 등 대다수 글로벌 IT 기업의 한국 지사들은 정보보호 의무공개 대상임에도 정보보호 투자액과 인력 수를 공개하지 않고 있다. 본사가 정보보호 체계 전반을 담당해 한국만의 정보를 제공하기 어렵다는 이유에서다.

일례로 한국IBM이 제출한 공시 자료를 살펴보면 “IBM은 글로벌 차원에서 정보보호 시스템을 구축·운영하고 있어 한국IBM은 국내 정보보호 투자액의 세부 내역을 제공하기가 어렵다”며 정보보호를 위해 어떤 노력 했는지 설명으로 갈음했다. 문제는 이러한 설명 역시 구체적이지 않고 자사 솔루션 목록과 기능을 나열하는 등 공시 목적과 다른 공시가 이뤄지고 있다.

과학기술정보통신부는 최근 국정기획위원회에 ‘인공지능(AI) 시대 정보보호제도 개선안’을 건의했다. 여기에는 민간의 정보보호 투자 촉진 및 정보보호 공시제도 의무 대상을 현 매출액 3000억원 이상에서 전 상장사로 확대하고, 최고정보보안책임자(CISO)에 정보보호 인력관리 및 예산편성권을 부여하는 방안이 포함됐다. 정보보호 인증제도 심사를 서면에서 현장 심사로 강화하고 주요 정보 통신 기반 시설 지정 확대도 언급됐다.

권헌영 고려대 정보보호대학원 교수는 “현재 정보보호 공시 의무제도는 표면적인 수치만 공개해 기업의 구체적인 투자 항목이나 인력 확보 등에 대한 기준은 불분명하다”며 “사업 분야가 다른 각 기업이 일괄적으로 공개하라고 규제하니 사각지대도 생기고 항목 상 차이가 발생하는 등 문제가 발생한다”고 말했다. 이어 “보안에 관한 인식과 관련 투자 높이려면 기업과 정부가 협의해 국내 실정에 맡는 공시제도를 고민해 보완할 필요가 있다”고 덧붙였다.