한국인터넷진흥원(KISA)이 지난해 정보보호 공시 등록을 마감한 가운데, 국내 기업에만 정량적 공시 기준이 적용되면서 형평성 논란이 제기되고 있다. 국내 기업은 정보보호 투자액, 전담 인력 등을 상세히 공개한 반면, 대다수 외국계 기업은 핵심 항목을 비워둔 채 정성적 설명만으로 공시 의무를 이행했다. 정부는 내년부터 정보보호 공시 대상을 국내 상장사 전반으로 확대하지만, 외국계 기업은 여전히 정량평가 대상에서 제외됐다.

(왼쪽부터) 네이버와 메타의 정보보호 현황 자료. 구체적인 수치를 표기한 네이버와 달리 메타는 세부내역을 공개하지 않고 있다. /KISA 정보보호 공시 포털 캡처

3일 보안업계에 따르면 한국인터넷진흥원(KISA)이 운영하는 지난해 정보보호 공시 등록이 지난달 30일 마감됐다. 정보보호 공시 제도는 기업의 정보보호 투자액과 전담 인력, 관련 활동 등을 공개하는 제도로, 이용자의 알 권리를 보장하고 기업의 정보보호 투자를 유도하기 위해 도입됐다. 2015년 자율공시로 시작했으며, 기업의 정보보호 역량 강화 필요성이 커지면서 2022년부터 일부 기업을 대상으로 의무공시를 시행하고 있다.

현재 의무공시 대상은 사업 분야와 매출액, 이용자 수 등을 기준으로 정해진다. 회선설비 보유 기간통신사업자, 집적정보통신시설(IDC) 사업자, 상급종합병원, 클라우드컴퓨팅 서비스 제공자 등이 대상이며, 정보보호최고책임자(CISO)를 지정·신고해야 하는 유가증권·코스닥 상장사 중 매출액 3000억원 이상 기업도 포함된다. 정보통신서비스 일평균 이용자 수가 100만명 이상인 기업 역시 의무공시 대상이다.

다만 제도 취지와 달리 업계에서는 외국계 기업과의 형평성 문제가 제기되고 있다. 구글, 텐센트, 메타, 틱톡, 마이크로소프트(MS), IBM, 아마존웹서비스(AWS) 등 글로벌 기업의 한국법인은 정보보호 의무공시 대상임에도 정보보호 투자액과 전담 인력 규모를 공개하지 않고 있다. 이는 제도 도입 당시 정부가 본사가 해외에 있는 외국계 기업의 특성을 고려해 국내 기준에 따른 정량 산출이 어렵다고 보고, 예외적으로 정성 공시를 허용했기 때문이다.

실제 이들 기업이 제출한 공시 자료를 보면 "글로벌 본사 차원에서 정보보호 체계 전반을 운영하고 있어 한국법인만 정보를 제공하기 어렵다"며 정보보호 활동을 설명하는 방식으로 공시를 갈음했다. 문제는 이 같은 설명 역시 구체성이 부족한 데다 자사 보안 솔루션과 기능을 나열하는 수준에 그쳐 공시의 실효성이 떨어진다는 지적이 나온다.

이에 업계에서는 현행 제도가 국내 기업에만 엄격한 기준을 적용하고 있다는 불만이 나온다. 정부가 내년부터 정보보호 공시 대상을 국내 상장사 전반으로 확대했지만, 외국계 기업은 여전히 정량평가 대상에서 제외된 점도 비판의 대상이다. 지난해 잇따른 사이버 침해사고 이후 정보보호 공시 기준이 강화되면서 국내 기업의 부담은 커졌지만, 글로벌 기업에는 동일한 기준이 적용되지 않는다는 것이다.

전문가들은 해킹 피해는 기업의 국적을 가리지 않고 국내 이용자에게 발생하는 만큼, 한국에서 사업을 하는 글로벌 기업 역시 국내 기업과 동일한 기준의 정보보호 공시와 사회적 책임을 이행해야 한다고 지적했다. 특히 인공지능(AI) 확산으로 사이버 위협이 고도화되면서 기업의 보안 투자와 역량에 대한 소비자의 관심도 커지고 있는 만큼, 외국계 기업이 정량 공시 대상에서 제외되는 현행 제도는 '반쪽짜리 제도'라는 비판이다.

염흥열 순천향대 정보보호학과 명예교수는 "현재 국내에서 상당한 규모의 사업을 하는 해외 기업은 동종업계 국내 기업과 제공하는 서비스에 차이가 없지만 사실상 정보보호 공시 대상에서 빠져 있다"며 "다만 외국계 기업은 국내 매출이나 투자 규모를 별도로 산정하기 어려운 측면이 있는 만큼, 이용자 수 등 국내 영향력을 기준으로 공시 대상을 정하는 방안을 검토할 필요가 있다"고 말했다.

이어 "개인정보보호법이 국적과 관계없이 국내에서 사업하는 기업에 적용되는 것처럼, 정보보호 공시 제도 역시 단계적으로 외국계 기업까지 확대해 국내외 기업 간 차별을 해소해야 한다"며 "초기에는 공시 기업에 인센티브를 제공하는 방식으로 참여를 유도하고, 장기적으로는 동일한 기준을 적용하는 방향으로 제도를 개선할 필요가 있다"고 덧붙였다.