최민지 칼럼

[취재수첩] 기업을 모르는 정보보호 공시제도, 결단이 필요할 때

최민지
[디지털데일리 최민지 기자] 정보보호 공시제도가 이번 달 시행을 앞두고 있다. 막바지 의견수렴이 한창이다. 현재 제시된 가이드라인만 놓고 본다면, 시장에서 실효성을 거두기까지 험난한 여정이 예상된다.

기업들을 유인하기에 당근도, 채찍도 부족하기 때문이다.

정보보호 공시제도는 지난해 12월 시행된 ‘정보보호산업의 진흥에 관한 법률’에 따라 기업 등이 스스로 정보보호 투자 및 인력관리 현황 등 침해 대응 수준을 한국거래소 등 공인된 공시시스템에 자율 공시할 수 있도록 하는 제도다.

기업들은 그 동안 정보보호에 투입되는 노력을 ‘투자’가 아닌 비용으로 인식해 왔다. 이러한 상황에서 자발적으로 정보보호와 관련된 내부 현황을 공시할 수 있는 기업은 많지 않다. 정보보호 공시를 위해 소요되는 비용과 시간, 노력은 기업 입장에서 또 다른 부담으로 다가온다.

만약, 보안 사고라도 발생하면 부메랑처럼 리스크로 돌아올 가능성까지 안고 가야 한다. 정보보호 투자 현황이 노출돼 있기 때문이다. 투자를 적게 한 기업의 경우, 해커의 공격 대상이 될 가능성도 배제할 수 없다.

공시를 할 때 수치적 부분만 정량화해 평가하기 때문에, 추후 기업에서 이를 악용할 수 있다는 의견도 나오고 있다. 개인정보 유출 등 보안 사고에 대한 책임을 물을 때, 해당 기업에서 정보보호를 위한 투자를 정부 정책에 따라 이행했으니 책임지지 않겠다는 태도를 보일 수 있다는 우려다.

결국 가장 큰 문제는 제도의 활성화다. 정부는 정보보호관리체계(ISMS) 인증 수수료 30% 감면 및 정부 연구개발(R&D) 사업 신청 때 가점 적용을 인센티브로 내세웠다. 기업들의 반응은 앞서 언급한 이유들로 시큰둥하다. 당장 제도가 시행되면, 정부 눈치에 기업들이 참여하는 모습을 보이겠지만 장기적으로 지속될 지는 의문이다.

강제적인 의무 조항으로 변경되거나, 또는 정부 입찰에서 우선권을 제공하는 등의 큰 혜택을 제공하지 않는다면 이 제도는 유명무실해질 것이라는 부정적 전망도 제기된다.

가이드라인을 제시한 미래부도 이를 모르는 것이 아니다. 추가 인센티브를 제공하려면 다른 부처와 협의를 해야 하고, 의무적으로 적용하려면 법·규제 개선 검토에 돌입해야 한다. 미래부 내부에서는 우선 시행 후 1~2년 후 제도 재검토를 실시하자는 의견도 나오고 있다.

정부도 고민이 많다는 것을 모르는 바 아니지만, 당장 제도 시행이 목전인 만큼 결단이 필요하다. 이 제도를 통해 정보보호에 대한 기업들의 투자 인식을 제고시켜 보안 수준을 높일 수 있으려면 기업들의 참여가 필수적이기 때문이다.

이 제도가 올바른 방향으로 시장에 안착돼 기업들의 정보보호 투자 노력이 늘어나길 기대해 본다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널