이통사·포털 서비스, 내년부터 정보보호 투자 현황 의무 공시한다

[사진=게티이미지뱅크]

앞으로 정보보호 중요성이 큰 기업은 정보보호를 위해 얼마나 투자하고 있는지 정기적으로 공시해야 한다.

과학기술정보통신부(과기정통부)가 정보보호 투자 활성화와 이용자 보호를 위해 정보보호 공시 의무화 등의 제도를 담은 '정보보호산업법' 시행령 개정안이 12월 7일 국무회의를 통과하고, 오는 12월 9일부터 시행한다고 밝혔다.

정보보호 공시제도는 서비스 이용자의 안전한 인터넷 사용과 기업 정보보호 투자 활성화를 위해 기업 정보보호 투자, 인력, 활동 등에 관한 정보를 공개하는 제도다. 그간 자율공시 방식으로 운영됐지만, 침해사고가 증가하고 기업 정보보호 수준을 높일 필요성이 커지면서 공시 의무화 목소리도 커졌다.

올해 6월 정보보호산업법이 일부개정(제13조제2항 신설)되면서 과기정통부는 △의무대상 기준 △이행기한 등 제도시행에 필요한 내용을 담은 시행령을 마련했다. 정보보호 공시 의무대상 범위와 기준은 학계, 법조계, 사업자단체, 대·중견·중소기업 CISO 등 각계 전문가 의견과 이해관계자 의견을 종합적 반영했다.

관련기사

• ​줌 CISO "제로트러스트 보안 모델, 2022년 주요 동향 될 것"
• ​2021 정보보호산업인의 밤 개최, 안전한 디지털 전환 위해 최선 다할 것

주요 개정 내용을 살펴보면, 우선 정보보호 공시 의무대상 범위와 기준을 신설했다(제8조제1항). 관계부처, 전문가 연구반, 이해관계자의 의견을 듣고 제도 개정 취지와 기업 규제 부담 수준 등을 고려해 △사업분야 △매출액 △이용자 수에 따른 의무대상 기준을 마련했다.
 

정보보호 공시 의무대상 기준[자료=과학기술정보통신부]

우선 사업분야에서 회선설비를 보유한 기간통신사업자, 집정정보통신시설 사업자, 상급종합병원, 클라우드컴퓨팅 서비스 제공자, CISO 의무지정 상장법인 중 매출액 3000억원 이상, 정보통신서비스 하루평균 이용자 수 100만명 이상인 기업 등이다. 이동통신3사는 물론, 네이버나 카카오 등 사용자가 많은 인터넷 서비스 기업, 대기업 등 정보보호 중요성이 큰 기업이 대상이다.

공시 의무 예외 규정도 신설했다(제8조제2항). 규제 부담 완화 등의 의견을 반영해 △공공기관 △소기업 △금융회사 △정보통신업이나 도‧소매업을 주 업종으로 하지 않는 전자금융업자는 의무대상에서 제외했다.

또한 정보보호 공시 이행 기한을 신설(제8조제6항)해, 6월 30일까지 기업별 정보보호 공시자료를 제출하도록 규정했다.

과기정통부는 새롭게 의무화되는 정보보호 공시가 국내 기업·기관의 정보보호 수준을 더욱 향상시키는 계기가 될 수 있도록 정보보호 공시 전 과정 컨설팅, 교육 등 다양한 정책적 지원을 마련할 계획이다.

또 기업이 쉽게 정보보호 공시에 참여할 수 있도록 정보보호 투자, 인력 산출 방법, 정보보호 활동 대상 기준 등의 내용을 담은 '정보보호 공시 가이드라인'을 연내 개정할 예정이다.

임혜숙 과기정통부 장관은 "4차산업혁명의 디지털 대전환이 진행되면서 디지털과 네트워크 의존도는 그 어느 때 보다도 높아졌다"며 "이용자는 정보보호 공시를 통해 기업의 정보보호 투자를 알아야 하며, 이를 알리는 과정에서 경영진의 관심이 촉구돼 정보보호 투자가 자연스럽게 발생하는 선순환 구조가 모든 산업 분야에 정착되길 기대한다"고 밝혔다.