정보보호산업의 진흥에 관한 법률(정보보호산업진흥법)을 근거로 기업의 정보보호 경쟁력을 강화하기 위해 마련된 '정보보호 공시제도'가 29일부터 본격적으로 시행된다.
정부는 공시제도를 통해 기업의 정보보호 투자를 촉진하고 소비자 선택권을 확대한다는 방침이지만, 관련 업계는 공시가 의무사항이 아닌 만큼 기업의 자발적인 참여를 유도할 수 있는 구체적인 방안이 필요하다는 지적이 나온다.
최근 정보유출 등 한 번의 사이버 침해사고를 당해도 실추된 기업의 신뢰가 회복되기 어려워짐에 따라 정보보호는 소비자 개인정보를 다량 보유한 전자상거래 기업에서부터 중요 연구개발정보를 보유한 첨단기업에 이르기까지 모든 기업의 핵심 경쟁력으로 부각되고 있다.
실제 지난달 발생한 인터파크 회원 1040만명의 개인정보 유출 사고 사례와 같이 잘못 관리된 정보보호는 주주, 소비자, 관계 기업 등 이해관계자에게 큰 피해를 끼치게 된다.
정부는 정보보호 공시제도의 일환으로 유가증권시장 공시규정 시행세칙을 개정해 상장 기업이 한국거래소 자율공시시스템(KIND)에 자율공시하고, 기업이 정보보호 현황을 이해 관계자에게 널리 알릴 수 있도록 했다.
공시 기업에는 인센티브를 제공해 기업의 참여를 독려한다. 공시 내용·방법·검증절차 등에 관한 내용을 담은 가이드라인에 따라 성실하게 공시한 기업은 정보보호관리체계(ISMS) 인증 수수료 30%를 감면해주고, 국가연구개발사업 참여 시 가산점을 부여한다는 방침이다.
관련 업계에는 정보보호 공시가 의무 사항이 아닌데도 기업들이 추가 비용을 들여가며 공시를 적극 활용할지 의문이라는 반응이 나온다. ISMS 인증 수수료 30% 감면의 경우도 공시를 위해 공인회계사, 감리법인 등을 거치는 과정에서 드는 비용을 고려하면 큰 혜택이 아니라는 것이다.
또 인력, 투자금액 등 공시 내용을 정량화해 평가할 경우 기업이 해당 조건을 최소한만 충족시키는 선에서 투자하고, 사고가 발생하면 책임을 다했다는 면죄부로 악용할 가능성도 제기된다. 단순히 투자 금액만 명시하기보다 정보보호 성과 등 결과 변수를 공시에 함께 적용해 실효성을 높이는 등의 방안이 고려돼야 한다는 지적이다.
미래부 관계자는 "제도 시행 초기 참여 기업과 관련해 공시 및 공시내용 검증을 위한 시범사례를 발굴해 지원하는 등 제도의 조기 확산을 위한 방안을 마련하고 있다"며 "향후 ISMS 인증 기업과 상장 기업뿐 아니라 비영리법인 등의 공시 참여 확대 유도를 위한 추가 인센티브를 발굴할 계획이다"라고 밝혔다.