연간 정보기술(IT) 분야 인력·투자와 정보보호 전담인력·투자 현황을 공개하는 '정보보호 공시' 의무 대상기업 622개의 명단이 처음 공개됐다. 국내 포털·게임, 이동통신, IT서비스, 대형 상장 기업뿐아니라 글로벌 콘텐츠·이커머스·클라우드사의 이름이 올랐다.
10일 한국인터넷진흥원(KISA)은 '2022년도 정보보호 공시 의무대상(안)'을 공개하고, 의무대상 기업에 "각 사에서는 대상 여부를 확인해 선정기준 등에 대해 이의가 있는 경우 3월 25일까지 이의신청서와 증빙자료를 제출해 달라"는 내용의 공문을 발송했다.
정보보호 공시는 기업·기관이 조직의 정보보호 분야 전담인력 수, 전체 IT 분야 예산 가운데 정보보호 분야 예산 금액, 정보보호 강화를 위한 직원교육·내부점검과 관련 인증 취득 등 현황을 요약해 과학기술정보통신부 전자공시시스템에 게시하는 활동을 뜻한다.
과기정통부는 지난 2016년 '정보보호산업의 진흥에 관한 법률'을 근거로 정보보호 공시 제도를 시행했다. 지난 2021년 이 법과 시행령이 개정돼 올해 처음으로 일부 기업에 정보보호 공시가 의무화됐고, 이번에 그 의무대상 기업 명단이 처음 발표됐다.
이번 의무대상(안)은 국내 통신사, IT서비스 기업, 지역케이블TV·위성방송사업자, 인터넷데이터센터(IDC) 운영사, 국내·외 클라우드서비스사업자(CSP), 상급종합병원, 이용자 수가 많은 이커머스·홈쇼핑·온라인게임·배달앱·모빌리티 서비스 운영사를 포함하고 있다.
KISA는 앞서 정보보호 공시 가이드라인을 통해 외국에 본사를 두고 있는 다국적 기업도 국내 일평균 이용자 100만명 이상인 서비스를 운영하는 등 관련 기준을 충족한다면 공시 의무 대상에 포함한다는 방침을 밝힌 바 있다. 해외 기업이 다수 포함된 이유다.
다만 이 의무대상(안) 목록은 공시 의무 여부가 확정된 것이 아니라, 법령에 정해진 조건에 들어맞을 것으로 예상되는 '후보'를 담고 있다. 이 목록에 포함됐지만 스스로 의무 대상이 아니라고 판단하는 곳은 기한 내 KISA에 자료를 제출해 소명 절차를 밟으면 된다.
이 목록에 포함된 600여개 기업 가운데 소명 절차를 밟지 않은 곳은 오는 6월 30일까지 정보보호 공시를 해야 한다. 공시를 하지 않은 기업은 정보보호 공시 의무 위반에 따라 1000만원 이하의 과태료 부과 처분을 받을 수 있다.
과기기정통부는 정보보호 공시를 이행한 기업에 그 현황의 투명성과 신뢰성을 확인하는 사후검증을 진행할 수 있다. 공시 항목인 정보보호 투자액, 인력, 인증·평가·점검 사항, 정보보호 활동 등에 대한 근거 자료를 요구하는 것이다.