이제는 군사와 경제 같은 양적인 힘이 아닌 매력·정직·과학·문화 등 질적인 신뢰가 사회 변화의 근본 동인이 되고 있다.

최근 새로운 정보통신기술이 출현하고 비즈니스 환경이 점차 더 복잡해짐에 따라 기업의 중요 정보 유출이 증가하고, 소비자 신뢰도는 저하되며, 징벌적·법정 손해배상제도 도입에 따라 배상책이 강화되는 등 단 한 번의 사이버 침해사고로도 실추된 기업의 신뢰는 점점 더 회복하기 어려워지고 있다.

이에 규제기관, 기관투자자, 비정부단체, 언론기관 등에서 조직 성과에 중대한 영향을 미칠 수 있다고 여겨지는 지속 가능성 리스크 공시에 대한 요구가 증가하고 있다.

정보보호는 소비자 개인정보를 대량으로 보유하는 전자상거래 기업 및 중요 연구개발 정보 등을 보유한 ICT 기업을 포함해 모든 기업들의 핵심 경쟁력으로 부각되고 있다.

수천만건의 개인정보를 다루는 국내 이동통신3사는 매년 정보보호 부문에 수백억원을 투자함에도 불구하고 매해 개인정보 이슈로 시달린다. 갈수록 강화되는 정보보안 문제들은 기업에게 정보보호에 대한 책임 뿐 아니라 위험관리(Risk Management)의 중요성을 지속적으로 강조하고 있다.

기업의 정보보호 현황은 위험관리와 관련된 주요 정보이나 그동안 시장에서 자생적으로 유통되지 않고 있어, 기업 투자자 및 소비자들은 불충분한 정보로 의사결정을 하고 있다. 이에 따라 규제기관과 투자자들은 점점 더 지속가능성 데이터를 포함한 비재무적 정보에 많은 관심을 가지게 됐고, 최근엔 내부감사 중점영역 중의 하나로 지속가능성 공시를 선정하고 있다.

불완전하거나 부정확한 데이터는 앞서 말한 벌금, 처벌, 투자자들의 관심도 하락 등 많은 경우 부정적인 결과로 이어지기 때문이다.

공시는 강력한 내부통제, 효과적인 업무프로세스, 정확한 데이터가 뒷받침돼야 할 수 있다. 결국, 내부감사는 이사회와 경영진이 지속가능성의 성과를 평가하는데 영향을 미치는 운영상의 리스크와 규제 리스크를 적절히 관리하고 있는지 평가해 관련 외부공시의 정확성과 적시성, 완전성을 통해 이해 관계자들을 이해시킬 객관적 정보를 제공하는 것이다.

과학기술정보통신부는 지난해 8월 기업의 침해대응 수준을 정보보호 관련 투자와 인력관리 현황 등을 통해 한국거래소와 같은 공인된 공시 시스템에 자율공시토록 한 ‘정보보호 공시제도’를 시행하고(정보보호산업의 진흥에 관한 법률 제 13조 및 시행령 제 8조), 정보보호 공시 가이드라인을 발표하였다. 이 제도는 기업 정보보안을 담당하는 정책과 활동을 자율적으로 규정하고 실행하도록 하는 ‘자발적 규범(Soft Law)’이다.

이는 각 기업 등이 정보보호 현황을 자율적으로 공시하게 함으로써 기업에게는 스스로 정보보호 수준을 객관적으로 파악해 정보보호를 경쟁력 강화를 위한 자발적 투자의 대상으로서 인식하는 계기를 마련하고, 협력 기업의 정보보호 수준 비교·분석을 통해 경영 의사결정에 참고하여 위험관리에 활용할 수 있도록 한다.

또한 주주, 소비자, 관련 기업 등 주요 관계자에게는 간접적으로 기업이 보유하고 있는 소비자의 개인정보 보호수준을 파악할 수 있도록 해 소비자의 선택권을 확대하고 안전성을 증대시키도록 하는 것이다.

이를 통해 기업에 대한 건설적인 관여가 증가해 정보 공시가 확대(정보 비대칭성 감소)되면, 이는 이사회의 효율성을 확보하게 된다. 그렇게 되면 의사결정 효율이 증대될 것이고 기업가치가 증가해 기업의 신뢰도 및 투자 가치 또한 향상돼(소프트 파워 확대) 결국 투자가 증가해 시가총액이 증가(주주가치 증가)하는 선순환을 이루게 될 것이다.

그러나 업계·학계에서는 강제성이 없는 정보보호 공시제도의 실효성 관련 우려를 쏟아낸 바 있다. 기업의 참여를 유도하기 위해 정보보호 관리체계(ISMS) 인증 수수료 감면, 국가 연구개발사업 참여시 가점 부여, 정보보호 우수기업 지정 등 공시에 따른 인센티브를 실시했으나 제도 시행 후 현재까지 1년여 남짓한 기간 기업들의 참여도는 아직 미미한 상황이다.

업계에서는 회계 및 감리 법인을 거쳐야하고 컨설팅을 해야 하는 등 정보보호 공시 관련 비용 투입 및 추가 일거리가 생기는 것에 대해 부담스러워하고 있다. 자금을 투자해 공시를 할 수 있는 유인책도 기업들이 원하는 수준에 미치지 못해 기업들은 조달청 입찰 관련 혜택 및 세제 감면 등을 원하고 있다.

반면, 추후 보안 사고가 발생했을 때 공시제도를 악용해 책임 면제 수단으로 삼을 수 있고, 기업들이 정보보호 현황을 공개하는 것을 리스크로 여겨 참여하지 않으려 하기 때문에 실효성을 높이려면 제도가 아닌 법률로 명시해 의무규정으로서 인센티브가 아닌 패널티를 받게 하는 것이 소비자를 보호하기 위해 반드시 필요한 조건으로 인식하게 해 이용자 정보를 보호해야 한다는 입장도 있다.

정보보호 공시제도는 자본 시장을 통해 기업의 사회적 책임 이행과 지배구조의 선진화를 견인할 수 있도록 발전시켜 나가야 한다. 이를 위해서는 제도의 본래 취지인 정보보호 투자 및 인식 제고에 맞도록 대상, 적용시기, 검증수수료, 표준화된 기준 및 플랫폼 등을 고려한 관련 법령 정비가 필요하다.

예를 들면, 산업군의 특성을 반영한 차등화된 기준이 제시된 공시 항목 개발, 기업의 최고재무책임자(CFO)와의 협조를 받을 수 있는 객관적 경제적 성과분석 자료, 기업의 혜택 및 현실적인 인센티브 방식(보험료 감면, 세제 감면 등), 공시내용의 적정성, 표준화된 평가기준 마련 등이 있다. 이를 통해 기업의 정보보안 투자를 활성화하고, 사이버보험에서의 보험료 산정 기준으로까지 발전시켜 나갈 수 있어야 한다.

유럽 대륙법 체계의 영향을 받은 국내 다른 법들과는 달리 자본시장과 관련된 법은 미국법 체계를 근간으로 한다. 독립 이후 미국은 로마의 체제와 이념인 ‘견제와 균형’을 닮고자 했다. 로마의 소프트 파워는 강력한 군사력이라는 하드 파워를 전제로 균형을 추구했다. 연성규범인 국제법에서도 유엔 안보리의 제재권(UN헌장 7장)이 인정되고 있다. 자본시장에서는 최소한 그 이행 감독 역할만은 일본처럼 권위 있는 금융감독당국이 해야 한다. 어떠한 정책이든 도입보다는 실효성이 핵심이기 때문이다

다가오는 2018년에는 정보보호 인식 제고 및 책임 있는 정보보호 투자 유도를 위한 정보보호 공시제도의 활성화를 위해 정보보호에 대한 범국민적 차원의 관심과 실천, 인식제고를 병행해 기업의 신뢰를 회복하는 선순환 구조를 만들어낼 수 있도록 모두 함께 노력해야 할 것이다.

글 : 이기혁 중앙대학교 교수