[컴퓨터월드] 지난 2016년부터 운영되고 있는 ‘정보보호 공시제도’가 변곡점을 맞이했다. 정부가 K-사이버방역의 일환으로 ‘정보보호 공시제도 의무화’라는 강경책을 꺼내든 것이다. 정보보호 공시 제도는 기업들이 단순히 의무에 의해 수동적으로 참여하는 제도로 끝나서는 안 된다. 기업들이 자발적으로 제도에 참여하고 활용할 수 있도록 유인책을 강화해야 한다.

최근 과학기술정보통신부가 매출 500억 원 기업의 정보보호 공시 의무화를 골자로 한 ‘정보보호산업법 시행령 일부개정안’을 입법예고했다. 정보보호 공시제도는 이해관계자 보호 및 알권리를 보장하고 기업의 자발적인 정보보호 투자를 촉진하기 위한 제도로, 지난 2016년부터 자율공시제로 운영돼 왔다. 하지만 참여도가 저조해 실효성 논란이 이어져왔다. 지난해 기준 45개사만이 참여했으며, 2016년부터 최근까지 누적 공시 수는 130건에 불과하다.

시행령 개정안에 따르면, 내년 1월부터 상장한 IT 기업 중 매출 500억 원 이상인 기업들은 정보보호를 의무적으로 공시해야 한다. 위반 시 과태료 1,000만 원이 부과된다. 특히 정부는 의무화 기준 대상을 당초 논의됐던 것보다 낮췄다. 이에 약 1,500개 기업이 의무화 대상에 포함될 것으로 예상된다.

업계에서는 이번 개정안에 대해 중복 규제, 정보보호 투자비용에 대한 왜곡 등의 우려를 표하고 있다. 특히 중복규제라고 지적하는 목소리가 가장 크다. 현재 대기업 대부분이 ISMS 인증을 의무적으로 받고 있는데, 정보보호 공시까지 해야 된다는 것이다.

또한 정보보호 투자비용 산출 및 비용에 대한 왜곡의 우려가 있다는 점도 지적된다. 정보 기술과 정보보호 기술에 대한 투자를 명확히 분리하기 어렵다는 것이다. 또한 기업별로 상황이 다른데 정보보호에 대한 투자 비용 및 비율을 일률적으로 비교하는 것은 무리라는 지적이다. 업계 관계자들은 개정안 시행에는 찬성하나, 제도의 실효성을 높이기 위해 세부사항을 수정해야 한다고 주장한다.

공시제도가 의무화되면 당연히 종전보다는 참여가 늘어날 것으로 예상된다. 다만 시행 전까지 시간이 있는 만큼, 기업들의 우려를 불식하기 위한 논의는 더욱 활발해져야 한다. 더불어 기업들이 적극적으로 참여할 수 있도록 유인책도 마련해야 한다.

현재 정보보호를 공시한 기업에게는 정보보호 관리체계(ISMS) 인증 수수료가 30% 감면되며, 특정 조건 충족 시 ‘정보보호 투자 우수기업·정보보호 공시 우수기업’ 선정이라는 혜택이 제공된다. 또한 정보보호 대상 신청 및 KISA 정보화 사업 입찰시 가산점도 받을 수 있다. 다만 혜택이 있음에도 공시제도가 활성화되지 못했던 점을 미뤄볼 때, 기업의 적극적인 참여를 독려하기 위한 혜택을 강화할 필요가 있다.

가령 ISMS 인증 수수료 감면 비율을 높이고, 일부 점검 항목 대체 등을 통해 인증과의 중복규제에 대한 불만을 해소하는 방법도 생각할 수 있다. 이외에 정보보호 공시제도 참여가 기업의 이미지 제고에 도움이 될 수 있도록 국민들을 대상으로 한 홍보도 필요해 보인다.