'낭중지추'(囊中之錐)라는 고사성어가 있다. 주머니 안에 있는 송곳이란 말로, 재능이 뛰어난 사람은 굳이 자기가 나서서 알리지 않아도 남들이 출중한 능력을 알아본다는 뜻이다.
그렇다면 과연 소비자 관점에서 우리 기업의 정보보호 노력도 드러날 수 있을까. 정보보호 공시제도가 시행되기 전에는 기업의 정보보호 활동과 투자를 나타낼 수 있는 제도가 없었다.
정보보호의 필요성이 꾸준히 증대되고, 일반 소비자가 본인이 이용하는 기업의 정보보호 실태에 대해 알 권리도 커져 가는 상황이다. 이 같은 상황을 고려해 어떻게 하면 소비자가 정보 침해사고에 대한 불안감을 해소할 수 있을지 고민한 끝에 2015년 12월 '정보보호산업의 진흥에 관한 법률'(이하 정보보호산업법)에 따라 정보보호 공시제도가 처음 시행됐다.
정보보호 공시제도는 기업이 자율적으로 정보보호 관련 정보와 현황, 즉 기업이 보안 침해사고에 대해 어느 정도 대응체계를 구축하고 있는지에 대한 사항 등을 공개하도록 하는 제도다.
기업은 이를 통해 소비자 대상 '안전한 기업' 이미지를 제고함으로써 경쟁력을 강화하고, 소비자는 본인과 관련된 기업의 정보보호 수준을 간접으로나마 판단할 정보를 확인할 수 있다.
이러한 정책적 함의에도 정보보호 공시를 자율적으로 하는 기업은 지난해 기준 45개에 불과, 사실상 제도 시행의 의미가 크지 않았다. 실효성도 떨어졌다. 제도가 시행된 지 5년이 넘었지만 정작 대다수 국민이 이용하는 대형 정보통신기술(ICT) 기업 등은 정보보호 현황을 공시하지 않고 있는 것이 현실이었다.
과학기술정보통신부는 이러한 문제 해결을 위해 올해 6월 정보보호 공시 의무화를 골자로 한 정보보호산업법 개정을 완료했다. 사업 분야 및 규모 등이 대통령령으로 정하는 기준에 해당하는 경우에는 정보보호 현황을 공시해야 한다는 조항을 추가, 많은 사용자에게 영향을 미치는 규모의 기업 대상의 정보보호 공시 의무화 기반을 마련했다.
최근 후속 조치인 정보보호산업법 시행령 개정안이 통과돼 회선설비를 보유한 기간통신사업자, 집적정보통신시설사업자, 상급종합병원 클라우드컴퓨팅 서비스 제공자, 최고정보보호책임자 지정·신고 상장법인 가운데 매출액 3000억원 이상, 정보통신서비스 하루 평균 이용자 100만명 이상 보유한 기업이 공시 의무대상으로 지정됐다. 이것을 계기로 정보보호 공시가 활성화되면 대한민국의 정보보호 수준 제고에 큰 밑거름이 될 것이다.
국민이 안심하고 신뢰할 수 있는 디지털 안심 국가가 실현되려면 정보보호 공시 의무화와 같은 투명한 정보공개 노력과 정부 정책이 함께 어우러져서 정보보호에 대한 기업의 자발적 참여 및 투자가 유기적으로 연계돼야 한다.
기업은 임직원 대상으로 정보보호 인식을 제고할 각종 교육·캠페인부터 정보보호를 위한 인증 획득, 주기적인 모의훈련과 정보보호 실태 점검 등 활동을 통해 정보보호 대응 체계 구축에 최대한 노력해야 한다. 이와 함께 이러한 현황을 대내외에 공시함으로써 소비자의 알 권리 보장과 동시에 자사의 정보보호 수준을 객관적으로 검증하고 위험관리 전략을 점검하는 계기로 삼을 수 있을 것이다.
코로나19라는 전례 없는 사태가 지속된 지 2년이 지난 지금 우리는 보안 위협에 대비하는 것이 최우선이라는 것을 직간접 경험했다. 정보보호 공시 의무화를 통해 디지털 대전환 속 정보보호 강화를 위한 기업의 노력이 활발해지고, 기업 가치 제고와 국민이 신뢰할 수 있는 디지털 환경이 구축되기를 기대한다.
이동범 한국정보보호산업협회 회장, dblee@genians.com
