[아이뉴스24 김혜경 기자] 오는 30일부터 600여개 기업을 대상으로 정보보호 공시 의무화가 본격 시행되는 가운데 제도 도입 취지였던 정보보안 투자도 확대될지 주목된다.
최근 'ESG(환경‧사회‧지배구조)' 경영이 부각되면서 일부 기업은 ESG 핵심 관리지표와 연계해 정보보호 체계를 수립하고 있다. 데이터 보호와 프라이버시 등은 향후 기업 평판에도 중대한 영향을 미칠 수 있는 만큼 체계적인 보안 대책 수립이 필요할 전망이다.
8일 관련 업계에 따르면 과학기술정보통신부가 지난 3월 정보보호 공시 의무자로 지정한 기업은 총 603곳이다. 지정된 기업들은 ▲기간통신사업자 39곳 ▲데이터센터 사업자 31곳 ▲상급종합병원 33곳 ▲클라우드 컴퓨팅 서비스 제공 사업자 12곳 등이다.
이와 함께 전년도 매출액이 3천억원 이상인 기업 464곳, 일평균 이용자 수가 100만명 이상인 기업 24곳이 포함됐다. 각 기업은 이달 말까지 정보보호 공시 현황 자료를 정부에 제출해야 하며, 공시 의무를 위반할 경우 1천만원 이하 과태료 처분을 받는다.
정보보호 공시에는 ▲정보보호 투자 현황 ▲정보보호 인력 현황 ▲정보보호최고책임자(CISO)‧개인정보보호책임자(CPO) 선임 ▲정보보호 인증‧평가‧점검에 관한 사항 ▲이용자 정보보호를 위한 활동 현황이 포함돼야 한다.
특히 정보보호 인증 부문에는 ▲정보보호‧개인정보보호 관리체계 인증 ▲정보보호 준비도 평가 ▲클라우드 서비스 보안인증(CSAP) 등이 포함됐다.
정보보호 공시제도는 2015년 6월 '정보보호산업의 진흥에 관한 법률'이 제정되면서 시행 근거가 마련됐다. 제13조에 의거해 정보보호 투자·인력·인증 현황 등 기업의 정보보호 현황을 자율적으로 공개하는 제도다. 제도 활성화를 위해 정부는 2019년 가이드라인을 개정하면서 유인책 마련에 나섰지만 가시적인 성과는 이끌어내지 못했다는 평가다.
공시 의무 한달 여를 앞두고 업계 분위기는 반반으로 갈리는 모양새다. 한 업계 관계자는 "정보보호 관리체계 인증(ISMS)을 받거나 원래부터 자율 공시를 했던 업체들은 내부적으로 잘 준비되는 분위기"라면서 "다만 대고객 서비스와 거리가 먼 업종 등에서는 해당 제도에 대해 인지조차 하지 못하고 있다"고 말했다.
이어 "올해는 과태료를 내고 내년부터 준비하자는 반응도 일각에서 제기되고 있다"며 "공시도 중요하지만 이달 말 공시 내용을 토대로 향후 어떤 제도적 변화가 있을지도 관건"이라고 덧붙였다.
또 다른 업계 관계자는 "공시 의무화 관련 컨설팅 건수가 늘어나는 등 아직까지 급격한 변화가 감지되지는 않고 있다"며 "이번에 지정된 기업들의 경우 규모가 있기 때문에 순조롭게 준비를 하고 있는 것으로 알고있다"고 말했다.
다만 ESG 경영이 미래 경쟁력을 좌우할 변수로 떠오르면서 이번 공시 의무화가 ESG 평가와 연계될 가능성도 배제할 수 없다는 분석도 나온다. 개인정보 유출 등의 보안 사고는 향후 ESG 등급 하락 요인으로 작용할 수도 있기 때문이다.
정보보호는 ESG 평가 요소인 ▲환경(E) ▲사회(S) ▲지배구조(G) 중 사회 영역에 포함된다. 사회 이슈를 평가하는 기준에는 ▲데이터 보호와 프라이버시 ▲성별‧다양성 ▲직원 참여 ▲지역사회 관계 ▲인권 ▲노동 기준 등이 있다. 앞서 지난해 12월 발표된 'K-ESG 가이드라인'은 ESG 진단항목 중 하나로 정보보호 시스템 구축과 개인정보 침해‧구제 등을 제시한 바 있다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기