정부가 내달 정보보호 공시제도 시행을 앞두고 가이드라인 잠정안을 배포한 가운데 실효성에 의견이 분분하다. 기업 정보보호를 담당하는 실무자 입장에서는 자율에 맡겨진 정보보호 공시가 동기 부여 요소가 부족한데다 경영층을 설득하기도 어렵다는 의견이 제기된다.
미래창조과학부와 한국인터넷진흥원(KISA)은 27일 서울중앙우체국 포스트타워에서 `정보보호 공시제도 및 가이드라인 설명회`를 개최했다. 첫 시행하는 제도인 만큼 다양한 업계 의견을 수렴해 개선점을 도출한다는 취지다.
설명회에는 기업 정보보호 담당자 등 200여명이 참석해 공시제도에 대한 관심을 나타냈다. 송창종 미래부 정보보호기획과 사무관의 제도 소개에 이어 최명길 중앙대 교수 등 패널토론이 이어졌다.
최 교수는 정보보호 공시제도가 신용평가제도 연계로 실효성을 높이고 공시 내용에도 투입 변수만이 아닌 결과변수를 넣을 필요가 있다고 제안했다. 인력과 비용 등 투입비용 중심으로 공시가 이뤄지면 규제로 받아들여지는데다 향후 사고 발생 시 기업이 책임 회피를 위해 악용할 수 있다는 지적이다.
최 교수는 “사고 발생 여부나 정보보호 성과 등 결과변수가 포함돼야 소비자 권리 강화에도 도움이 된다”며 “혜택 부분도 단순 인증 수수료 감면뿐만 아니라 정보보호 투자에 대한 조세혜택이 필요하다”고 말했다.
행사에 참석한 기업 담당자 사이에서는 혜택으로 제시된 정보보호관리체계(ISMS) 인증 수수료 감면이 공시에 드는 추가 비용과 부담에 비하면 실질적 효용이 떨어진다는 지적이 나왔다. 공시자료를 검증하는 회계법인·감리법인 비용 기준도 마련되지 않은데다 검증 기준도 불분명하기 때문이다.
정보보호 공시를 위해 경영진과 재무·회계팀 등을 설득하는 부분도 문제다. 아직까지 많은 기업이 정보보호 예산을 투자보다는 비용으로 바라보는 상황에서 기업 경영진이 선뜻 공개 필요성을 느끼기 어렵다는 것이다.
매 분기와 반기마다 업무보고서를 제출하는 금융회사는 여러 항목이 겹치는 정보보호 공시로 중복 비용이 발생한다는 의견도 제기됐다.
허성욱 미래부 정보보호기획과장은 “정보보호 공시제도는 기업이 스스로 준비하고 투자해 국민이 기업을 선택할 때 얼마나 잘 하고 있는지 정보를 주도록 기획한 것”이라며 “앞으로 2주간 추가 의견을 수렴해 공시에 대한 기업 부담은 줄이고 추가 인센티브를 고민해 현장에서 실효성 있는 제도가 되도록 노력하겠다”고 말했다.
박정은기자 jepark@etnews.com
