실시간 뉴스



ESG 경영하려면…'정보보호' 공시 의무 [IT돋보기]


6월 30일부터 시행…"공시 의무화로 정보보호 투자 유도"

[아이뉴스24 김혜경 기자] 기업의 미래 경쟁력을 좌우할 변수로 'ESG(환경‧사회‧지배구조)' 경영이 주목받는 가운데 정보보호 공시의 중요성도 부각될 전망이다.

2015년부터 관련 제도가 시행됐지만 각 기업의 자율에 맡긴 탓에 정보보호 투자 현황은 투명하게 공개되지 못했다. 오는 6월부터 600여곳의 기업을 대상으로 공시 의무화가 본격 시행되면서 당초 제도 도입 취지였던 정보보안 투자도 확대될지 주목된다.

정보보호 공시제도 개요 [사진=KISA]
정보보호 공시제도 개요 [사진=KISA]

2일 관련 업계에 따르면 지난달 과기정통부는 정보보호 공시 의무자로 총 603개 기업을 확정했다. 지정된 기업들은 ▲기간통신사업자 39곳 ▲데이터센터 사업자 31곳 ▲상급종합병원 33곳 ▲클라우드 컴퓨팅 서비스 제공 사업자 12곳 등이다. 이와 함께 전년도 매출액이 3천억원 이상인 기업 464곳, 일평균 이용자 수가 100만명 이상인 기업 24곳이 포함됐다.

각 기업들은 6월 30일까지 정보보호 공시 현황 자료를 정부에 제출해야 하며, 공시 의무를 위반할 경우 1천만원 이하 과태료 처분을 받는다.

정보보호 공시에는 ▲정보보호 투자 현황 ▲정보보호 인력 현황 ▲정보보호최고책임자(CISO)‧개인정보보호책임자(CPO) 선임 ▲정보보호 인증‧평가‧점검에 관한 사항 ▲이용자 정보보호를 위한 활동 현황이 포함돼야 한다. 특히 정보보호 인증 부문에는 ▲정보보호‧개인정보보호 관리체계 인증 ▲정보보호 준비도 평가 ▲클라우드 서비스 보안인증(CSAP) 등이 포함됐다.

정보보호 공시제도는 2015년 6월 '정보보호산업의 진흥에 관한 법률'이 제정되면서 시행 근거가 마련됐다. 제13조에 의거해 정보보호 투자·인력·인증 현황 등 기업의 정보보호 현황을 자율적으로 공개하는 제도다. 자사 보안 상황을 공개한 기업은 정보보호 관리체계 인증 수수료의 30%에 해당하는 금액을 할인받을 수 있다.

해당 제도는 기업의 정보보호 현황을 소비자와 주주, 기업관계자 등에 제공해 기업의 정보보호 책임을 높인다는 취지에서 시작됐다. 기업의 재무상태 변화에 영향을 미칠 수 있는 정보보호 현황에 대해 공개함으로써 주주의 알 권리를 확보하고, 소비자 선택권을 강화할 수 있다는 데 의의가 있다.

제도가 시행된 지 7년이 지났지만 그동안 의무가 아니라는 이유로 활성화되지 못했다는 지적이다. 2020년 기준 정보보호 공시를 했던 기업은 52개사에 불과했다. 2019년 정부는 가이드라인 개정을 통해 제도 활성화에 나섰지만 가시적인 성과는 이끌어낼 수 없었다는 평가다.

지난해 3월 발간된 '정보보호 공시제도의 운영실태와 효과성 분석' 논문에 따르면 2016~2020년 공시 현황을 분석한 결과 정보보호 투자와 인력 투입이 아예 없다고 공개한 기업도 존재했다. 전체 107건의 공시 가운데 2019년 1개사, 2020년 2개사는 자사가 정보보호에 투자하지 않는다는 사실을 공시한 것으로 나타났다. 또 ▲2017년 1개사 ▲2018년 1개사 ▲2019년 6개사 ▲2020년 8개사는 정보보호 관련 인력을 배정하지 않는다는 사실도 공시로 밝혔다.

연구자들은 "자사가 정보보호에 관심이 없다는 사실을 공시하는 회사가 존재한다는 것은 정보보호에 대해 관심이 없다는 것이 외부에 알려지더라도 회사에 부정적인 영향은 미치지 않을 것이라는 고려가 있었다고 볼 수도 있다"고 전했다.

기업 유인책이 부족한 상황에서 자율적인 참여는 기대하기 어렵다는 것. 경영진이 정보보호를 투자가 아닌 비용으로 인식하는 경향이 지배적이라는 분석이다. 최근 ESG 경영이 부각되면서 오는 6월 말부터 시행될 정보보호 공시 의무화에 관심이 쏠리는 이유다.

정보보호는 ESG 평가 요소인 ▲환경(E) ▲사회(S) ▲지배구조(G) 중 사회 영역에 포함된다. 사회 이슈를 평가하는 기준에는 ▲데이터 보호와 프라이버시 ▲성별‧다양성 ▲직원 참여 ▲지역사회 관계 ▲인권 ▲노동 기준 등이 있다.

앞서 지난해 12월 발표된 'K-ESG 가이드라인'은 ESG 진단항목 중 하나로 정보보호 시스템 구축과 개인정보 침해‧구제 등을 제시한 바 있다. 개인정보 유출 등의 보안 사고는 향후 ESG 등급 하락 요인으로 작용할 가능성도 배제할 수 없다.

현재 일부 기업은 ESG 핵심 관리지표에 정보보안 부문을 추가하면서 선제 대응에 나서고 있다. 과기정통부는 정보보호 공시가 의무화되면 각 기업의 정보보호 관련 투자도 확대될 것으로 보고 있다.

/김혜경 기자([email protected])




주요뉴스



alert

댓글 쓰기 제목 ESG 경영하려면…'정보보호' 공시 의무 [IT돋보기]

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중

뉴스톡톡 인기 댓글을 확인해보세요.



포토뉴스