기업 보안 상황을 공시하는 '정보보호공시제도'가 시행 4년째를 맞았지만 참여기업 저조로 유명무실한 것으로 나타났다. 4년간 공시제도를 통해 자사 보안 상황을 안내한 기업은 25개에 그쳤다.
14일 과학기술정보통신부 전자공시시스템(ISDS)에 게시된 기업 정보보호 공시 내용에 따르면 2016년 12월 시작된 정보보호공시제도에 참여한 기업은 NHN, SK텔레콤, KT, 비바리퍼블리카 등 25개 기업이었다. 25개 기업은 현재까지 총 44건 공시를 진행했다.
공시 참여 일부 기업은 정보보호 전담인력이 1명 또는 전담 인력이 아예 없는 경우도 있다.
업계 최고정보보호책임자(CISO)는 “기업정보보호 공시는 법적 규제가 아니다보니 기업이 따를 유인책이 적은 것이 사실”이라면서 “기업 정보보호공시기업 가운데 정보보호전담인력 등 실제 정보보호 활동 하지 않고 인센티브 만 받기위해 공시하는 기업도 있어 이를 확인하는 절차도 필요하다”고 지적했다.
기업정보보호 공시제도는 이해관계자 보호, 알권리를 보장하고 기업 자발적 정보보호 투자를 촉진하기 위한 제도다. 공시대상은 정보통신망을 통해 정보를 제공하거나 정보 제공을 매개하는 자로, 대부분 금융, 게임, 기업 등이 포함된다. 공시에 참여한 기업은 정보보호투자, 인력, 인증·평가·점검사항부터 정보보호를 위한 활동까지 다양한 내용은 고시한다.
정보보호 공시는 기업 잠재적 재무상태 변화에 주요한 영향을 미친다. 기업 중요정보 유출, 징벌적·법정 손해배상제도 도입에 따른 강화된 배상책임, 소비자 신뢰도 저하 등으로 재무 변동 가능성 크다. 소비자 등은 정보 보호 수준을 간접 파악해 소비자 선택권을 높인다.
도입 취지와 달리 참여는 저조하다. 정부는 정보보호공시 기업에 정보보호관리체계(ISMS)인증 시 30% 비용 감면혜택, 우수 공시기업에 '정보보호 투자 우수기업' 별도 기재 등 혜택을 제공한다. 반면 업계는 인증 할인혜택 등이 공시 부담을 안고 갈 만큼 유인책을 끌지 못한다고 토로한다. 무엇보다 강제성이 없다.
업계 관계자는 “기업은 대부분 보안을 대부분 비용, 규제로 받아들여 법적 요건을 갖추는데 중점을 둬 사실상 자발적 보안 투자를 꺼린다”면서 “정보보호 공시를 위해 외부 기관에 회계검증 받아야 하는 등 추가 비용까지 발생해 참여를 꺼리는 경우가 많다”고 설명했다.
정부는 올해 기업 정보보호 공시 확대를 위해 가이드라인 개정에 나섰다. 이전까지 비용을 들여 외부 회계검증을 받도록 했으나, 1월 '정보보호 공시 가이드' 개정을 통해 기업 스스로 내용을 확인 공시하고, 이를 사후검증 하도록 개선했다.
한국인터넷진흥원(KISA) 관계자는 “정보보호공시제도에 스스로 참여하는 기업이 적고, 부처 입법을 준비하고 있지만 규제로 받아들일 수 있어 이마저도 쉽지 않았다”면서 “올해 초 정보보호 공시 가이드 개정 등으로 올해 말까지 누적 공시 60개 이상 확대될 것으로 기대한다”고 말했다.
정영일기자 jung01@etnews.com
