全상장사 정보보호공시 의무화…"규제 아닌 신뢰 장치" 공감대(종합)

(서울=뉴스1) 이민주 기자 = 정부가 기업의 정보보호 의무를 강화하기 위한 일환으로 '정보보호 공시 의무 대상 확대'를 추진 중인 가운데 산·학·법조계가 '규제가 아닌 신뢰 강화를 위한 장치'라는 공감대를 형성했다.

다만 소기업 등 '공시 취약계층'의 부담을 고려해 기업 규모와 정보보호 역량에 따른 공시 항목과 적용 시기를 차등화해야 한다고 당부했다.

과학기술정보통신부는 6일 서울 서초구 한국컨퍼런스센터에서 '정보보호 공시 의무 대상 확대를 위한 정보보호산업법 시행령 공청회'를 개최했다.

공청회는 정보보호 공시 의무 대상을 확대하는 내용의 '정보보호산업법 시행령' 개정안에 대해 이해관계자와 국민 등의 의견을 수렴하고 사회적 공감대를 형성하기 위해 마련됐다.

개정안은 정보보호 공시 의무 대상을 '전체 상장사'로 확대하는 내용을 담고 있다. 기존 정보보호 공시 의무대상은 매출액 3000억 원 이상 상장사였다. 이번 의무대상 확대는 기업의 정보보호 수준을 사전에 공개해 해킹이나 개인정보유출 등 사이버 침해 사고에 대한 대응력을 높이겠다는 취지다.

이날 공청회에서는 정보보호 공시 의무 확대가 부담이라는 기업 측 주장과 달리 제도 효과의 비용 대비 편익이 압도적으로 크다는 분석이 나왔다.

조일형 상명대 교수는 이날 정보보호 공시 제도의 정성적인 효과와 제도 운용에 대한 효과성 분석을 위해 정보보호 공시 의무기업 87개와 만 19세 이상 일반 국민 500명을 대상으로 실시한 설문 결과를 발표했다.

조사 결과, 정보보호 공시제도의 효과성 분석 결과 정보보호 공시 제도의 사회 경제적 편익은 1200억 원으로 비용 편익 비율은 15.75배로 산출됐다.

2023년 1년간 정보보호 공시 관련 비용 지출 평균은 1199만 원이었으며 구간별로 500만 원 이상 1000만 원 미만으로 사용하고 있다는 곳이 33.3%로 가장 많았다. 2000만 원 이상은 29.2%, 1000만 원 이상 2000만 원 미만은 25%, 500만 원 미만은 12.5%로 조사됐다.

연간 정보보호 공시 업무에 필요한 시간은 평균 108시간으로 나타났다. 구간별로 72시간 이상 144시간 미만 사용하고 있다는 곳이 36.1%로 가장 많았다.

정보보호 공시 의무화 시행 이후 정보보호 투자를 확대했다는 곳도 전체의 36.8%다. 제도가 긍정적인 영향을 미치고 있냐는 질문에는 응답자의 72.1%가 긍정적인 반응을 보였다.

조 교수는 "정보보호 공시 제도는 규제임에도 불구하고 기업과 국민 모두에게 편익이 있는 제도로 분석됐다"고 말했다.

산학법조계 패널들도 정보보호 공시 제도의 취지와 확대 방향에 대해 대체로 긍정적인 평가를 했다.

이효경 충남대 교수는 "정보보호 공시를 규제가 아닌 기업 신뢰도 제고를 위한 수단이라는 방향으로 인식 전환을 해야 한다"며 "정보보호 공시 의무 대상을 전 상장사로 확대하는 개정안은 일정 수준의 책임을 지는 상장사 전반을 일관되게 확보한다는 점에서 타당하다"고 말했다.

김진수 정보보호산업협회 수석부회장은 "정보보호 공시 확대는 규제가 아니라 기업의 보안 역량과 신뢰도를 보여주는 장치"라며 "운영과 관리 중심의 보안 체계를 평가하는 방향으로 발전해야 한다"고 했다.

이미 정보보호 공시를 시행하고 있는 기업들 사이에서도 제도 확대의 필요성에 공감했다.

지정호 비바리퍼블리카(토스) CISO는 "정보보호 공시 의무 대상 확대 방향에도 산업계 CISO의 한 사람으로서 찬성한다"며 "정보보호 공시는 단순한 규제가 아니라 기업의 신뢰를 높이는 중요한 장치다. 소비자 입장에서도 어떤 서비스를 신뢰하고 이용할지 판단하는 계기가 되고 기업 입장에서는 정보보호 수준을 객관적으로 입증할 수 있다"고 설명했다.

홍관희 LG유플러스 CISO는 "정보보호 공시 의무 대상 확대는 정보보호 투자와 수준 향상을 유도한다는 점에서 바람직하다"며 "공시 확대를 통해 기업의 정보보호 투자와 대응 수준이 보다 투명하게 공개될 수 있을 것"이라고 전했다.

다만 이들은 제도가 본래 목적에 맞게 현장에 안착하려면 기업 규모와 정보보호 역량에 따른 차등 적용과 단계적 도입이 필요하다고 제언했다.

이효경 교수는 "방향은 타당하지만 모든 기업에 동일한 시점과 동일한 요건을 적용하는 것은 현실적으로 어려울 수 있다"며 "기업 규모와 업종, 정보보호 역량 차이를 고려한 단계적 이행 방안이 필요하다"고 말했다.

김진수 수석부회장은 "'보안에는 성역이 없다'는 원칙에는 공감하지만 제도가 안착하려면 충분한 유예기간과 지원책이 병행돼야 한다”며 "소기업의 경우 최소한 핵심 요소부터 적용하고 준비 기간을 통해 내실 있는 보안 체계를 구축하도록 유도할 필요가 있다"고 강조했다.

지정호 CISO는 "소기업 등 '공시 취약계층'에 대해서는 충분한 지원책이 필요하다"며 "정책을 적용하는 시기 역시 차등화할 필요가 있다. 또 제도가 자리 잡기까지 실무자 가이드라인과 교육 지원이 함께 마련돼야 한다"고 전했다.

업계의 우려에 이종혁 과기정통부 정보보호산업과장은 "소기업과 관련해서는 현실적인 실현 가능성을 종합적으로 검토해 최종안을 마련하겠다"고 답했다.

minju@news1.kr