603개 기업이 2021년도 정보기술(IT)과 정보보호 분야 인력·투자 현황을 대외에 공개하는 '정보보호 공시' 이행 의무를 지게 됐다. 인터넷회선사업자(ISP), 데이터센터(IDC)사업자, 클라우드인프라(IaaS)사업자, 상급종합병원, 매출 3000억원 이상의 대형 상장사, 일평균 이용자수 100만명 이상 서비스의 운영사가 오는 6월 30일까지 정부에 공시 현황 자료를 제출해야 한다.
국내 이용자 대상으로 온라인서비스·IDC·클라우드를 운영하는 다국적 IT기업들이 이 의무를 순순히 이행할지는 미지수다. 다국적 IT기업들은 법정 의무인 감사보고서를 통해 국내에서 최소한의 사업 실적과 운영현황을 공시하는 것이 일반적이다. 국내에서 회계·경영이나 조직규모·인력과 관련된 세부사항을 밝히는 것을 기피한다. 정보보호 공시 의무 부과는 이 성향을 뒤집을 것을 요구한다.
정보보호 공시 의무자에는 대·중견 이상 상장사, 주요 정보통신설비를 갖춘 통신사와 클라우드서비스 제공자, 대규모 이용자를 대상으로 제공하는 온라인 쇼핑, 배달 서비스 운영사 등이 포함된다. 공시 의무자는 오는 6월 30일까지 정보보호 공시 현황 자료를 과기정통부 전자공시시스템에 제출해야 한다. 의무를 위반하면 1000만원 이하의 과태료 처분을 받는다.
김정삼 과기정통부 정보보호네트워크정책관은 환경·사회·지배구조(ESG) 경영이 주목받는 가운데 디지털 대전환에 박차를 가하는 기업이 늘고 있어 정보보안 역량이 기업의 핵심 경쟁력이자 성공요인으로 작용하고 있다"면서 "정보보호 공시를 통해 이용자에게 다양한 정보보호 노력을 알리고 이 과정에 기업 간의 건전한 경쟁이 유도돼 투자가 발생하기를 기대한다"고 말했다.
정보보호 공시 의무자가 아닌 기업도 자율적으로 관련 현황을 정부에 제출해 정보보호 공시를 이행할 수 있다. 정부는 기업의 정보보호 강화를 위한 노력과 실제 투자 노력이 이용자들에게 알려져 기업 신뢰도 향상으로 이어지고, 정보보호 인력과 기술에 대한 투자로 국내 정보보호 산업계의 성장과 발전으로 이어지길 기대하고 있다.
과기정통부는 지난 2021년 12월 정보보호 공시 가이드라인 개정판을 발간해 정보보호 공시 이행에 필요한 사항을 안내 중이다. 지난 2월부터 사전컨설팅 수요조사를 진행해 선정된 120개 기업에 온·오프라인과 방문 형식으로 맞춤 컨설팅을 지원하고 있다. 공시현황 자료 산출을 돕기 위해 오는 5월부터 기업 공시 담당자 교육, 회계법인·정보시스템감리법인 컨설팅 전문가 대상 교육을 추진한다.