[ⓒ픽사베이]

[디지털데일리 김보민기자] 새 정부 출범을 계기로 정보보호 공시 제도가 본격 강화될 전망이다. 기업들의 기대와 우려가 상충하고 있지만, 정보보호 공시제도가 국내 보안 인식을 제고할 도구로 활용돼야 한다는 점에는 이견이 갈리지 않는 분위기다. <지난 기사 참조 [보안공시 해부] 대기업은 책임 걱정, 중소기업은 비용 부담…정보보호 공시 강화의 그늘>

보안업계와 전문가들은 정보보호 공시제도의 고질적인 문제를 개선하는 것이 시작이라고 입을 모은다. 이들은 ▲보안투자 항목을 세분화해 '깜깜이' 공시 방식을 개선하고 ▲대규모 영향을 끼칠 수 있는 사업자를 대상으로 의무공시 대상을 확대해야 한다고 이야기한다. 궁극적으로 ▲능동 보안이 가능하도록 제도 실효성을 높여야 한다는 점도 강조하고 있다.

◆ "얼마나 제대로 투자했는데?" 현 제도로는 '물음표'

현 정보보호 공시제도는 정보기술(IT)과 정보보호 투자액을 나눠 공개하도록 하고 있다. 공시를 이행하는 기업들은 투자액 뿐만 아니라 IT·정보보호 부문 전담인력과 정보보호최고책임자(CISO) 및 개인정보보호책임자(CPO) 지정 현황도 함께 공개하고 있다. 여기에 정보보호 인증, 평가, 점검에 대한 사항은 물론 관련 활동 현황도 공유할 수 있다.

겉으로 보기에는 IT 및 정보보호 투자에 대한 '모든 것'을 공개한 것 같지만, 실상은 그렇지 않다. 실질적인 보안 투자 현황을 살펴볼 수 있는 항목은 모두 선택사항으로 분류되기 때문이다. 대표적으로 주요 투자 항목, 특기사항(투자·전담인력 관련)에 대한 세부 내용은 기업 자율에 따라 기재하지 않아도 된다.

올해 공시를 이행한 삼성전자, 현대자동차, 네이버, 한화에어로스페이스 등 국내 주요 기업 중 대다수도 선택항목을 비워둔 것으로 확인됐다. 간략하게 투자 항목을 기재한 주요 기업도 있었다. SK하이닉스의 경우 '전사 통합 권한 관리체계 구축'을, LG에너지솔루션은 '핵심정보관리시스템 구축'을 투자 항목에 공개했다. 카카오는 정보보호 투자 현황 특기사항에 'IT기업으로 정보기술 투자 비율이 높다'는 내용과, 정보보호 인력 현황 특기사항에 CPO 주요 활동을 나열하기도 했다.

IT 대비 정보보호 투자 규모를 수치적으로 비교분석할 수는 있지만, 실질적으로 보안 체계를 얼마나 강화했는지 알 수 없다는 의미다. '깜깜이'식 공시에 그친다는 비판이 이어지는 이유다. 대규모 해킹 사고를 낸 SK텔레콤이 최근 정보보호 투자액을 5년간 7000억원 규모로 확대하겠다고 했지만, 공시제도 차원에서 개선 여부를 파악하기 어려울 수 있다는 의견이 제기되기도 한다.

국내 보안업계 관계자는 "특히 대기업의 경우 '보안상'의 이유로 세부적인 보안 투자 내역을 공개하기 꺼려 하는 경우가 많다"며 "다만 IT투자와 정보보호투자를 헷갈려 하는 경우도 있어, 실질적으로 얼마나 보안 투자를 잘 하고 있는지 현행 제도로는 파악하기 어려운 실정"이라고 말했다. 다른 보안업계 관계자도 "일례로 가상사설망(VPN)의 경우 보안장비로 분류되는데, 기업들은 IT 운영 장비라고 선언하고 있다"며 "공시 시행령이 아니더라도, 세부 가이드라인을 통해 예제를 만들어 준다면, 이에 대한 혼선이 줄어들 것"이라고 제언했다.

보안 위협이 고도화되고 있는 만큼, 의무공시 대상을 확대해야 한다는 목소리도 커지고 있다. 현재 의무공시 대상 사업자는 ▲회선설비 보유 기간통신사업자 ▲집적정보통신시설 사업자 ▲상급종합병원 ▲클라우드컴퓨팅 서비스 제공자다. 규모 기준으로는 ▲CISO를 지정·신고해야 하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3000억원 이상이 의무공시 대상이다. 이 밖에도 ▲정보통신 서비스 일일 평균 이용자 수가 100만명 이상인 곳도 의무 기준에 속한다. 다만 매출액 3000억원이 넘지 않은 상장사더라도 보안 사고가 발생할 경우 대규모 피해를 낳을 가능성이 커지고 있어, 기준을 전 상장자 등으로 넓혀야 한다는 의견이 제기된다.

현행 제도가 '귀찮은 절차'일 뿐, 능동적인 보안 투자와 공시를 이끌어낼 만한 도구로 활약하는 데 한계가 있다는 목소리도 나온다. 국내 보안업계 관계자는 "정부는 가이드라인을 통해 '이용자 보호와 알 권리를 보장하고 기업의 자발적인 정보보호 투자를 촉진하는 제도'라고 소개하고 있지만, 자율공시로 혜택(인센티브)을 받는 몇 기업으로 제외하고는 실제 이러한 취지로 공시를 이행하는 경우는 드물다"며 "개선책이 필요한 시점"이라고 강조했다.

정보보호 공시 종합포털 [ⓒKISA 홈페이지 캡처]

◆ 정보보호 ESG 항목으로…투자·공시 유인책도 확대해야

보안 전문가들은 저조한 국내 보안 인식이 이러한 소극적인 보안 행태를 낳고 있다고 진단하고 있다. 김휘강 고려대 정보보호대학원 교수는 "'먹고살기 바쁘다'는 이유로 보안이 후순위로 밀리는 것이 현실"이라며 "그간 정부가 기관과 협회를 통해 중소기업을 위한 다양한 제도를 내놨지만, 실제 활성화되기까지는 시차가 있는 상황"이라고 진단했다.

국내 보안 인식을 끌어올리기 위해서는 보안 투자를 환경·사회·지배구조(이하 ESG)로 바라보는 관점도 필요하다고 제언했다. 국내의 경우 CISO가 비등기 임원으로 등록돼 실제 이사회에서 의사결정을 내리는 데 어려움이 있는 만큼, ESG 공시 등을 이행하는 최고재무책임자(CFO) 선에서 보안 인식을 끌어올릴 만한 기준점이 필요하다는 것이다.

김 교수는 "해외 신용평가기관인 피치와 스탠다드앤드푸어스(S&P)의 경우, ESG 평가에 보안을 포함시키고 있다"며 "보안 통제가 잘 이뤄져야 부정행위가 발생하지 않고, 내부 감사 또한 정상적으로 작동할 수 있다는 취지"라고 말했다. 이어 "CISO와 CPO가 직접 노력하는 부분도 당연히 중요하지만, 회사 전체적으로 봤을 때 최고경영자(CEO)가 얼마나 보안을 잘 운영하는지 신경 쓰게 하는 것이 중요하다"며 "해외 트렌드에 맞춰 ESG 등 보안 평가가 늘어나야 한다"고 강조했다.

투자 및 공시 유인책을 확대하는 것이 보안 인식을 끌어올리는 첫발이 될 수 있다는 의견도 제기된다. 현재 정보통신망을 통해 정보를 제공하거나, 정보 제공을 매개하는 기업이라면 이해관계에 따라 자율공시를 이행할 수 있다. 정보보호 현황을 자율 공시한 경우에는 공시 시점부터 1년 내 정보보호 및 개인정보보호 관리체계(ISMS 또는 ISMS-P) 인증심사 수수료를 30% 할인받을 수 있다. 공시 의무가 없더라도 관련 기업들이 자발적으로 보안 투자 현황을 공개하도록 유도하는 일종의 인센티브 전략이다.

이와 관련해 국회 과학기술정보방송통신위원회 소속 이해민 의원은 민간 정보보호 투자를 유도하고 기업 보안 역량을 개선하기 위한 입법으로 '보통신망법 일부개정안(이하 정보보호수준 평가법)'과 '조세특례제한법 일부개정안(이하 정보보호 세액공제법)'을 대표 발의했다. 세액공제법의 경우, 기업이 정보보호 시스템 설비에 투자하거나 보안 컨설팅 등을 이행하는 경우 법인세를 감면해 주는 내용을 담고 있다.

한편 보안업계에 따르면, 정부 및 기관·산업계 등이 머리를 맞댄 정보보호 공시제도 연구반은 새 정부 출범을 계기로 다시 활동에 돌입할 예정이다. 연구반은 윤석열 정부 당시 대내외 이슈로 예정대로 활동을 전개하지 못한 것으로 전해진다.