"기업들 보안투자 늘려야"…정부, 정보보호 공시대상 확대 추진

과학기술정보통신부 MI

정부가 전년도 기준 매출 500억원이 넘는 기업을 대상으로 정보보호 공시 의무를 부과한다. 이에 따라 국내 약 1500여개 기업은 정보보호 분야 투자규모와 관련인력 운영현황 등을 공개해야 한다. 최근 해킹 등 사이버 범죄가 잇따르자 기업들도 보안 투자를 늘려야 한다는 취지다. 다만 업계는 보안 투자규모를 비율로 공시하는 등 일부 내용은 제도 실효성을 높이기 위해 수정해야 한다는 의견을 내놓는다.

17일 과학기술정보통신부는 정보보호산업진흥법 시행령 개정안을 최근 입법예고했다. 이 개정안은 일정 규모 이상의 기업에 정보보호 현황을 공시하도록 의무화하고, 이를 어길 경우 1000만원 이하 과태료를 부과하는 내용을 담았다. 정부는 올해 말까지 시행령 개정안을 확정지은 뒤 내년부터 시행할 방침이다.


개정안에 따르면 공시의무를 갖게 되는 기업은 코스닥과 코스피에 상장한 매출액 500억원 이상이면서도 회사 정보통신망의 일평균 이용자수가 10만명 이상인 기업이다. 기업은 △IT투자액 대비 정보보호 부문 투자액 현황 △IT인력 대비 정보보호 부문 인력 현황 △정보보호 관련 인증·평가·점검 등에 관한 사항 등을 공시해야 한다.

법안 논의 당시보다도 적용 대상 기업은 훨씬 많아졌다. 지난 3월 국회 과학기술정보방송통신위원회 법안심사소위에서 장석영 당시 과기정통부 2차관은 매출액 5조원 이상, 이용자 수 약 100만명을 보유한 기업을 대상으로 법안을 검토 중이라고 밝힌 바 있다. 현재 자체적으로 공시하는 기업 수는 약 45개사지만, 개정안이 시행되면 공시대상 기업은 최대 1500개까지 늘어날 전망이다.

다만 업계 일각에서는 정보보호 투자액을 비율로 산정하는 방식 탓에 실제 투자규모가 적어보이는 왜곡이 발생한다고 우려한다. 주요 IT기업의 경우 전체 IT부문 투자액 규모가 워낙 크다보니, 정보보호 투자를 아무리 늘려도 비율로 따지면 적을 수 밖에 없어서다. 정보보호 분야와 IT부문 투자를 명확히 구분하기 어렵다는 문제도 있다. 보안기술은 정보보호 분야와 IT부문 투자 모두에 해당한다.


인터넷기업협회 관계자는 "개정안 자체에 반대하는 것은 아니다"라면서도 "제도 실효성을 높이기 위해 투자 규모 산정에 왜곡이 발생하지 않도록 개정안 일부 수정이 필요하다"고 말했다.