정보보호 인력규모·투자현황과 같은 비(非)재무적 요소가 기업 활동의 전략을 세우고 의사결정을 내리기 위해 고려해야 할 중대 변수로 급부상했다. 기업 경영진들 사이에서 지속가능성을 높이고 미래 경쟁력을 좌우할 키워드로 '환경·사회·지배구조(ESG)' 경영이 주목받는 가운데, 개별 기업의 전반적인 정보보호 투자 현황을 공개하는 정보보호 공시 활동의 중요도가 높아질 전망이다.
29일 학계 전문가와 투자자문·분석기관들은 정보보호 공시 활동이 기업의 가치와 지속가능성을 높여 줄 수 있음을 인정하는 추세다. 정보보호 부문 투자 규모와 온라인서비스 이용자 정보보호를 위한 활동 내역 등을 공개하는 기업이 더 나은 의사결정을 내리고, 투자자와 시장의 신뢰를 얻고, 경영 성과와 미래 경쟁력을 강화할 수 있다는 인식이 형성되고 있다.
경제학·정보보안 전문가들이 학제간 연구를 수행하는 글로벌 학회인 '보안경제성워크숍(WEIS)'에서 작년 발표된 논문(Disclosure of Cybersecurity Investments and the Cost of Capital)의 저자들도 "공시 정보가 풍부하고, 이를 추종하는 분석가가 많고, 기관 투자 가능성이 높고, 자본을 조달하는 시점의 기업일수록 자본비용 감소의 효과가 더 강한 것으로 나타났다"고 밝혔다.
미국 신용평가사 모건스탠리캐피털인터내셔널(MSCI)은 기업의 지속가능경영 수준 진단에 ESG의 세 분야를 10개 주제(themes)와 35개 항목(35 ESG Key Issues)으로 나눈 'MSCI ESG 평가 방법론'을 활용한다. 이 가운데 사회(Social)분야 주제인 '제품 신뢰성(Product Liability)'의 하위 항목에 실질적인 정보보호 개념인 '프라이버시·데이터보안(Privacy & Data Security)'이 포함돼 있다.
MSCI는 ESG 점수와 등급 산출의 근거 자료로 정부와 학계의 통계, 언론 보도 외에 '기업이 공개한 재무정보와 공시 내용' 등을 활용한다. MSCI ESG 평가 대상이 된 기업이 정보보호 관련 투자 현황을 직접 밝히지 않으면, 관련된 항목을 좋게 평가할 수 없다. 따라서 기업이 이 항목과 상위 범주인 제품 신뢰성과 사회 분야의 평가를 잘 받으려면 정보보호 관련 공시를 고려해야 한다.
국내에선 정부가 정보보호 공시와 ESG 경영의 연계 정책을 펴고 있다. 이달초 발표된 부처합동 K-ESG 가이드라인은 조직의 ESG 성과 진단항목 중 하나로 '정보보호 시스템 구축'을 명시했다. 정보보호최고책임자(CISO) 선임, 보안사고 대비 보험가입 여부와 함께 '정보보호 공시(의무 또는 자율)사항을 이행하고 있는 경우' 등 다섯 가지 기준을 충족한 기업은 이 항목에 만점을 받는다.
한국인터넷진흥원(KISA) 관계자는 "2017~2020년 중 2년 이상 연속으로 정보보호 공시를 이행한 기업 26개사를 분석한 결과, 이들의 정보보호 투자액은 연평균 18.3% 늘었고 정보보호 부문 인력은 연평균 12.6% 증가했다"고 밝혔다. 기업의 정보보호 공시 이행이 전반적으로 기업의 보안 수준 강화를 위한 투자 확대에 긍정적으로 작용한 것으로 해석된다.
디지털 전환 가속화와 함께 모든 조직에 랜섬웨어·지능형공격 등 사이버위협이 급증했고, 산업계 전반의 보안 수준 개선 필요성이 대두됐다. 기업뿐아니라 많은 개인정보를 보유한 의료·교육기관 등에 정보보호 공시 의무 확대가 필요해 보인다. KISA 측은 관련 문의에 "의무 공시가 정착되고 공시의 효과성 분석과 외부 협단체·전문가와 논의를 거쳐 검토할 사항"이라고 답했다.
정부는 지난 2016년부터 '정보보호산업법'을 근거로 기업의 자율에 기반한 정보보호 공시 제도를 운영해 왔다. 최근 법 시행령이 개정돼, 내년부터 일정 규모 이상의 정보통신기술(ICT) 관련 기업과 상장사는 의무적으로 정보보호 공시를 해야 한다. 금융위원회가 2025~2030년 단계적으로 의무화하는 유가증권시장(KOSPI) 상장사의 'ESG 공시'에 정보보호 공시가 연계될 가능성도 있다.