정보보호 공시제도 의무화 후 첫 공시가 마무리됐다. 정보보호 공시제도는 이용자의 안전한 인터넷 이용과 정보보호 투자 활성화를 위해 기업이 정보보호 투자·인력·인증·활동 등 정보보호 현황을 일반에 공개하는 제도다. 이제는 제도의 실효성을 높이는 단계다. 공시 후 철저한 사후 검증이 필요하다. 한국 기업은 그나마 성실히 공시를 했는데, 글로벌 기업들은 성의가 없다는 지적을 받는다. 잘못하면 국내 기업에 대한 역차별로 이어질 가능성이 있다.

정보보호 공시제도는 2015년 6월 ‘정보보호산업의 진흥에 관한 법률’이 제정된 후 마련됐다. 정부는 제도 활성화를 위해 2019년 가이드라인을 개정했지만, 강제성 없는 자율 규제였던 탓에 참여율이 저조했다. 2020년 기준 정보보호 공시를 했던 기업은 52곳에 불과했다. 정보보호 투자와 인력 투입이 아예 없다고 공개한 기업도 있었다. 결국 정부는 의무공시 카드를 꺼내들었다.

정보보호 공시 의무가 있는 사업자는 대⋅중견 이상 상장사를 비롯해 주요 정보통신 설비를 갖춘 통신사, 클라우드 서비스 제공자, 이용자 수가 많은 온라인 쇼핑몰, 배달 서비스 운영사 등이다. 공시 의무 대상 기업은 매년 6월 30일까지 정보보호 공시 현황 자료를 과학기술정보통신부 전자공시 시스템으로 제출해야 한다. 공시 의무를 위반하면 최대 1000만원 이하 과태료 처분이 내려진다.

일각에서는 여전히 과태료 규모가 적다는 지적도 있다. 4월 정부가 올해 공시 의무 대상이라고 발표한 기업은 603곳이고, 6월 30일까지 참여한 기업은 598곳(96%)이었다. 1차 공시 의무 위반 시 과태료는 300만원, 2차 위반시 600만원, 3차 위반시 1000만원이 부과된다. 올해 참여하지 않더라도 내야할 과태료 규모는 적다.

정보보호 공시제도가 의무화됐지만, 형식적인 정보공개에 그칠 수 있다는 우려도 있다. 외국계 기업이 특히 그렇다. 글로벌 IT 기업의 경우 국내 법인들의 투자액과 전담인력을 0 또는 1로 공시한 곳들이 있다.

마이크로소프트, 아마존웹서비스, 메타, 텐센트, 오라클 등이 그러하다. 그나마 텐센트는 정보보호현황 특기사항에 전 세계에서 정보보안 시스템을 공동으로 이용하고 있고, 중국 본토를 제외한 글로벌 예산 중 3.63%를 한국 내 정보기술 예산으로 투자하고 있다고 설명했다.

하지만 나머지 기업들은 대부분 특기사항에 ‘정보보호관리체계를 글로벌 레벨로 유지하고 있다’, ‘보안을 당사 제품 전략의 근간으로 삼고 있다' 등 간단한 설명만 입력했다. 나머지는 공시내용 양식을 다운받아 보도록 했다. 일부 기업은 영어로 정보보호 활동 내용을 올린 곳도 있다. 외국계 기업들의 정보보호 공시에 대한 보완이 필요해 보인다.

국내 기업들은 대부분 성실하게 수치를 입력했다. 다만, 임의적인 수치를 공시했는지 실제로 정보보호 투자한 금액과 일치했는지 ‘팩트체크'가 필요하다. 공시 제도가 실효성 있는 제도로 자리잡기 위해서는 철저한 검증이 필요하다.

정부는 공시의 신뢰성 확보를 위해 공시 점검단을 구성해 각 기업이 제출한 정보보호 현황 자료에 대해 사후 검증을 실시하겠다고 밝혔다. 기간은 3개월쯤 걸릴 예정이다. 정부는 외국계 기업의 경우 한국의 투자만 따로 산출하기 어렵다는 업계의 의견을 반영해, 정보보호 투자 활동에 대한 내용만이라도 공시하도록 양식을 개정했다는 설명이다. 향후 제도의 보완이 필요한 부분은 앞으로도 검토를 보완해 나가겠다는 입장도 덧붙였다.

과태료가 얼마 안되다 보니 공시 의무를 위반하는 기업이 있을 수도 있다. 하지만 해킹의 위협이 일상이 된 지금 기업의 개인정보 보호 역량은 기업 평판에도 중대한 영향을 미치는 중요한 잣대가 됐다. 정보보호 분야는 지속적인 투자가 필요하기에 당장의 수익에는 부담이 될 수 있다. 하지만 정보보호를 소홀히 하다 신뢰를 잃은 기업이 이를 회복하는 데 드는 비용은 추산조차 어렵다. 앞으로 의무 대상 기업들의 진정성 있는 정보 공개와 함께 이용자의 개인정보를 다루는 기업들의 자발적인 참여가 늘어나기 바란다.

류은주 기자 riswell@chosunbiz.com