KISA(한국인터넷진흥원. 원장 김석환)가 기업의 정보보호 책임성 강화와 이용자의 알권리 보장을 위해 2016년 8월부터 시행하고 있는 정보보호 공시제도에 참여한 기업이 36곳에 불과해 실적이 저조한 것으로 드러났다.

국회 과학기술정보방송통신위원회 변재일의원(더불어민주당, 청주시청원구)이 과기정통부로부터 제출받은 ‘정보보호 공시제도 참여기업 현황’ 자료에 따르면, 과기정통부는 2016년 8월부터 2020년 7월까지 누적 74개 기업이 정보보호 공시에 참여한 것으로 제출했지만 중복기업을 제외하면 단 36곳에 불과한 것으로 확인됐다.

한편, 과기정통부는 기업으로부터 정보보호에 대한 투자를 이끌어내고 각종 보안사고를 미리 예방하려는 취지에서 정보보호관리체계(ISMS) 인증 의무를 부여하고 있다. 과기정통부는 ISMS 인증제도와 정보보호 공시제도를 상호 보완적으로 운영하기 위해 정보보호 공시에 참여하는 기업을 대상으로 ISMS 인증 수수료를 30% 감면해주는 혜택을 제공하고 있다.

ISMS 인증 의무 대상기업은 정부가 정보보호 관리의 책임성이 높은 기업들을 한정해 놓은 것으로 정보보호 공시제도의 대상 기업들을 선별할 때도 이를 포함하도록 고려해야 한다는 것이 과기정통부의 입장이다.

따라서 ISMS 인증 의무대상 기업을 정보보호 공시제도의 대상 기업으로 본다면, 정보보호 공시제도에 참여하고 있는 36개 기업은 ISMS 인증 의무대상 755개 기업의 5%에도 못미치는 수준이다.

지난해에는 1억 5,000만원의 예산으로 총 28개 업체에 컨설팅을 지원했지만 이 중 21개 업체만 정보보호 공시에 참여했고 나머지 7개 업체는 공시에 참여하지 않은 것으로 확인됐다.

컨설팅을 신청하는 업체들은 기업의 신뢰도를 향상시키고 마케팅에 활용하려는 취지에서 자발적으로 신청을 하지만, 최종적으로 정보보호 관련 예산 비율이 저조해 공시하기 어려운 수준이거나 의무가 아니기 때문에 CEO 결심 단계에서 포기해버리는 경우가 많다는 것이 과기정통부의 설명이다.

현행법상 정보보호 공시는 의무사항이 아니므로 기업당 500만원의 예산을 들여 약 4회에 걸친 컨설팅을 진행하고도 기업 내부사정에 의해 공시를 하지 않겠다고 하면 이를 제재할 수 없는 실정이다.

정보보호 공시제도 예산 집행의 실효성을 담보하고 기업의 정보보호를 강화하기 위해서는 기업의 공시 참여를 확대할 제도적 대안 마련이 필요한 시점이다.

변재일 의원은 “지난 7월 IBM이 발표한 보고서에 따르면 올해 한국의 24개 기업을 대상으로 분석한 결과, 데이터 유출로 인해 발생한 금전적 피해는 38억원에 달했고 전체 데이터 유출 사례 중 80%가 고객 개인식별정보 유출이었다.”고 밝히며, “기업의 정보보호에 대한 경각심을 높이고자 마련된 정보보호 공시제도를 제대로 운영하려면 보안사고 발생시 국민생활에 영향을 미칠 것으로 우려되는 기업들을 대상으로 정보보호 공시를 의무화할 필요가 있다.”고 강조했다.

---

[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★