지난해 정보보호 공시 의무화가 시행되면서 국내 주요 기업의 정보보호 투자·인력 현황이 공개됐다. 전년 64개 대비 약 10배 늘어난 총 627개 기업(의무공시 565곳, 자율공시 62곳)의 참여를 이끌어내는 데 성공했지만, 일부 업종 및 일정 규모로 대상이 한정된 데다 사후검증을 강제할 법적 근거가 없어 실효성이 떨어진다는 지적이 나온다.
11일 과학기술정보통신부와 한국인터넷진흥원(KISA)이 발표한 '정보보호 공시 현황 분석보고서'에 따르면 당초 공시 의무대상 사업자로 지정된 기업은 총 586곳이었다. 그러나 보고서 작성 시점인 지난해 11월 21일까지 글로벌 기업, 일부 정정공시 진행 기업 등이 제외되면서 565곳으로 줄었다. 정정공시는 사후검증 후 12월 말까지 진행됐으며, 모든 결과가 보고서에 담기지는 않았다는 게 KISA 측 설명이다.
정보보호 공시는 이용자 보호 및 알 권리를 보장하고 기업의 자발적인 정보보호 투자를 촉진하기 위해 기업의 정보보호 투자, 인력, 활동 등에 관한 정보를 공개하는 제도다. 2016년부터 자율제로 시행됐으나, 2021년 국회가 정보보호산업법을 개정하면서 지난해부터 의무제가 더해졌다. 의무공시 대상은 정보보호 최고책임자(CISO) 지정·신고 상장법인 중 매출액이 3000억원이 넘고, 일평균 이용자 수 100만명 이상인 ▲회선설비 보유 기간통신사업자(ISP) ▲집적정보통신시설 사업자(IDC) ▲상급종합병원 ▲클라우드컴퓨팅 서비스 제공자(CSP)다.
의무공시 대상은 입법 추진 과정에서 축소됐다. 시행 중인 유사 인증·공시 제도와의 중복규제 및 영세 기업에 대한 과도한 부담 발생 등에 대한 산업계의 우려를 반영한 것이다. 과기정통부는 최초 입안예고안에서 매출액과 이용자 수 기준을 각각 상장 법인 중 매출액 500억원 이상, 일평균 이용자 수 10만명 이상으로 정했었다. 당시엔 지금과 달리 기간통신사업자의 회선설비 보유 여부도 구체적으로 명시하지 않았다. 과기정통부는 총 3차례의 입법예고를 거쳐 경영정보를 공시하고 있는 공공기관, 금융위원회가 별도로 관리·감독하는 금융회사 및 영세·소기업도 대상에서 뺐다.
과기정통부가 유사·중복 규제 가능성을 제한하고 정보보호 필요성이 큰 업종 및 대상부터 공시를 의무화한 건 제도를 안정적으로 도입하기 위해서란 해석이 많다. 다만 이로 인해 일반 국민의 접근성이 떨어졌다는 분석도 있다.
국회입법조사처는 최근 발간한 '정보보호 공시 의무화의 의의와 향후 과제' 보고서에서 "공공기관 경영정보 공시 등에 유사·중복되는 내용이 포함돼 있다고 하더라도 일반 국민은 해당 정보로부터 정보보호 투자 및 인력 현황 등만 분류해서 파악하기 어려운 측면이 있다"며 "디지털 대전환의 환경에서는 매출 규모나 이용자 수 등과 관계 없이 기업의 정보보호 중요성이 커지고 있음을 고려할 때 의무공시 대상을 지속적으로 확대해 나갈 필요가 있다"고 했다.
허위·불성실 공시 기업이 사후검증을 거부할 가능성도 배제할 수 없다. 사후검증은 현재 기업의 협조를 전제로 운영되고 있기 때문이다. 과기정통부는 지난해 사후검증 대상 표본으로 선정된 40개 기업 중 1곳이 사후검증에 필요한 자료 제출을 거부했다고 밝혔다. 사전점검확인서 미제출 등의 이유로 사후검증 대상으로 분류된 기업은 모두 346곳이었다. 사후검증에 따른 과기정통부의 정정 요청도 강제성을 띄지 않아 기업이 거부할 수 있다.
이에 국회에선 관련 입법 움직임이 포착되고 있다. 앞서 국회 과학기술정보방송통신위원회 소속 박성중 국민의힘 의원은 '정보보호 산업의 진흥에 관한 법률 일부 개정안'을 대표 발의했다. 개정안에는 ▲정보보호 공시 내용에 대한 사실 여부 확인 ▲정정 요청에 대한 근거 명시 ▲공시 내용 정정 거부에 대한 과태료 부과 등 내용이 담겼다.
박 의원은 "최근 판교 데이터센터 화재 사고 등으로 인해 기업이 공개하는 정보보호 공시에 대한 국민의 관심도가 높아지고 있지만, 현행법상 기업이 공시한 정보보호 현황의 정확성과 신뢰성을 확인하기 위한 근거가 해당 법안에 포함되지 않아 실효성 확보에 많은 어려움이 있다"고 취지를 밝혔다.