[디지털데일리 최민지기자] 25일 업계에 따르면 통신4사는 내달 중 정보보호 공시제도에 참여한다.

SK텔레콤, KT, LG유플러스, SK브로드밴드는 현재 미래창조과학부(이하 미래부) 협조 아래 정보보호 공시를 위해 막바지 작업 중이며, 이와 관련 ▲투자현황 ▲전문인력 ▲인증 ▲이용자 정보보호 활동 현황 등을 오는 5월 자율 공시할 계획이다.

이로써 미래부가 정보보호 공시제도를 시행한 지 약 9개월만에 4개 기업이 추가로 합류하게 된다. 현재 정보보호 현황을 자율 공시한 곳은 삼성웰스토리와 테크빌교육, 단 두 곳뿐이다. 양사는 지난해 12월에 공시했다.

앞서, 미래부는 지난해 8월29일부터 기업의 정보보호에 대한 책임성 강화 및 이용자 보호를 위해 정보보호 공시제도를 시행했다.

당시 업계·학계 등에서는 강제성이 없는 정보보호 공시제도의 실효성 관련 우려를 쏟아낸 바 있다. 이를 반영하듯 제도 시행 후 현재까지 8개월 남짓한 기간 기업들의 참여도는 여전히 저조하다.

통신4사가 참여한다 해도 10곳에도 미치지 못하는 실정이다. 이에 미래부는 정보보호 공시의 중요성 등을 홍보해 기업들의 자율 공시 확대를 꾀하겠다는 입장이다.

◆통신4사, 내달까지 정보보호 공시 완료 예정=지난해 미래부와 한국인터넷진흥원이 정보보호컨설팅 전문업체들과 협력해 중소기업을 선발·지원한 데 따라 삼성웰스토리와 테크빌교육은 정보보호 자율 공시의 첫 삽을 떴다.

이에 더해 SK텔레콤, KT, LG유플러스, SK브로드밴드는 늦어도 다음 달까지 정보보호 관련 현황을 자율적으로 공시한다. 미래부에서 담당하는 통신 규제와 연관성이 있는 기업들이다 보니, 우선적으로 해당 제도에 참여한 것으로 보인다.

미래부 관계자는 “통신사들은 영업보고서 제출과 지난해 회계 결산 정리가 완료되는 대로 정보보호공시제도에 참여할 것”이라며 “정보보호에 얼마나 투자했는지 등에 관련된 데이터를 회계법인을 통해 검증받아 공시해야 하는데, 5월에는 4개 기업이 모두 참여할 수 있을 것”이라고 말했다.

인력의 경우 ▲총임직원 ▲정보기술부문 인력 ▲정보보호부문 인력을 구분해 집계해야 하며, 정보보호관리체계(ISMS) 인증 및 정보보호 준비도 평가 등 기업이 취득한 국내외 주요 인증·평가·점검 등의 상황을 기재해야 한다.

정보보호 투자 활성화 실적, 정보보호 인식 향상 교육 등 기업 이용자의 정보보호를 위한 활동과 미래부가 인정하는 이용자 정보보호 활동도 살펴볼 수 있다.

해당 기업은 이 같은 내용을 미래부에서 운영하는 전자공시시스템(ISDS) 또는 한국거래소가 운영하는 전자공시시스템(KIND)을 통해 공시하게 된다.

◆미래부 “올해 10개 기업, 자율 공시 참여토록 할 것”=미래부는 정보보호 공시제도를 활성화하겠다는 방침이다.

이와 관련 미래부 관계자는 “4개사 외 6개사를 더 참여하도록 해 올해 최소 10개 기업이 정보보호 현황을 공시할 수 있도록 하고, 홍보활동을 통해 더욱 확대하겠다”며 “통신 관련 업체들과 ISMS 인증기관들을 우선적 대상으로 고려하고 있다”고 강조했다.

이 같은 미래부 의지에도 기업들이 자발적으로 움직일 지는 의문이다. 정보보호 공시제도는 강제사항이 아닌 기업 자율에 맡긴 제도다. 이에 미래부는 ISMS 인증 수수료 30% 감면, 국가 연구개발사업 참여 때 가점 부여를 인센티브로 내세웠지만, 기업들을 끌어오기는 역부족이다.

미래부 관계자는 “추가적인 인센티브 부분은 관계부처와 검토가 필요하다”며 “기업 및 관계 기관의 의견을 들어 반영할 수 있도록 노력하겠다”고 제언했다.

업계에서는 정보보호 공시 관련 비용 투입을 부담스러워하고 있다. 회계 및 감리 법인을 거쳐야 하기 때문이다. 자금을 투자해 공시를 할 수 있는 유인책도 기업들이 원하는 수준에 미치지 못하고 있다. 기업들은 조달청 입찰 관련 혜택 및 세제 감면 등을 원하고 있는 상황이다.

사이버 위협이 증가하고 있고 잦은 보안 사고에 대비하기 위해 기업들이 적극적으로 나서야 한다는 의견도 제기되지만, 기업들이 이를 방패삼을 수 있다는 우려도 제기된다. 추후 보안 사고가 발생했을 때 정보보호 공시제도를 악용해 책임 면제 수단으로 삼을 수 있다는 것. 반면, 기업들이 정보보호 현황을 공개하는 것을 리스크로 여길 수 있다는 의견도 나온다.

학계 관계자는 “시장의 순기능에 맡겨야 하는데, 인위적으로 공시제도를 내세우기 때문에 큰 효과는 없을 것”이라며 “정보보호 관련 문제가 발생했을 때 기업들은 공시한 내용을 통해 피해를 입을 수 있다고 생각하면 굳이 참여하려고 하지 않을 것”이라고 지적했다.

또 “실효성을 높이려면 제도가 아닌 법률로 명시해 강제성을 높이고, 소비자를 보호하기 위해 반드시 필요한 조건으로 인식하게 해야 한다”며 “의무규정으로 자리 잡는다면, 인센티브가 아닌 패널티를 받게 되기 때문에 이용자 정보를 보호하는 입장에서 반드시 할 수밖에 없을 것”이라고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr