[칼럼] 정보보호공시제 강화로 국내 기업의 정보보호 수준 강화 도모해야

[칼럼 염흥열 순천향대 정보보호학과 명예교수] 최근 지능화되고 조직화된 사이버 공격이 빈번히 발생하고 있다. 우리나라의 경우 모든 산업 부문에 대해 디지털 전환이 진행되고 있고 정보시스템을 이용한 인터넷을 통해 서비스가 제공되고 있다. 이에 따라 공격자 입장에서는 공격의 대상이 되는 기업의 정보시스템의 공격 표면이 전보다 휠씬 많이 넓어졌다. 또한 공격 목적도 금전적 목적을 포함해 사회 혼란, 국가 안보의 훼손에까지 영향을 미치고 있다.

최근 정보 유출사고는 산업 부문을 가리지 않고 발생하고 있다. 정보통신 기업, 인터넷 기업, 인터넷 쇼핑몰 등을 망라해 발생하고 있다. 따라서 정보보호는 특정 산업 부문의 문제가 아니라 모든 산업 부문의 경영 리스크로 부각되고 있다. 이는 우리나라 만의 문제가 아니라 전 세계적인 문제이기도 하다.

기업에서 정보보호를 강화하는 방법은 정보시스템에 대한 위험을 상시적으로 평가하고 그 위험에 대한 전략에 따라 보호대책을 수립하는 것이다. 이러한 보호대책은 위험을 아예 회피 하거나, 사이버보안과 같이 위험을 전가하거나, 위험을 크기를 줄이기 위해 보호대책을 수립 하는 것이다. 이러한 보호대책에는 기술적, 관리적, 조직적, 인적 보호대책이 있다. 이 모든 것들은 조직의 사이버보안 정책에 따라 운영되어야 한다.

정보보호 공시 의무화 제도가 공식적으로 2022년부터 정식 시행된다고 발표되었다. 안전한 인터넷 이용 및 정보보호 투자 활성화를 위하여 정보보호 투자/인력/인증/활동 등 기업의 정 보보호 현황을 일반에 공개하는 자율 또는 의무적으로 공시하는 제도이다. 이 공시제도의 법 적 근거는 “정보보호산업의 진흥에 관한 법률”의 13조에 근거하고 있다.

의무공시 기업은 인터넷 서비스 제공자, 매출액이 300억 이상인 기업, 일일평균 이용자 수 100만명 이상인 기업 등이며, 그 외 정보통신 사업자의 경우는 자율로 운영되고 있다. 의무적으로 공시해야 하는 기업은 매년 6월 30일까지 정보보호 현황 제출해야 한다. 코스닥 기업은 정보보호 공시가 의무적이지는 않지만 지속가능경영보고서에 정보보호 정책 및 조치, 인증 등의 항목을 포함할 수 있다.

정보보호 공시를 해야 하는 항목은 정보기술부문 투자 현황 대비 정보보호부문 투자 현황, 정보기술부문 인력 대비 정보보호부문 전담인력 현황, 정보보호 관련 인증ㆍ평가ㆍ점검 등 에 관한 사항, 그 밖에 정보보호를 위한 활동 현황 등이다.

정보보호공시제도는 모든 정보보호 문제를 해결할 수 있는 만능 제도는 아니다. 이 제도의 목적은 기업이 스스로 자신의 정보보호 관련 주요 지표 현황을 살펴보고, 다른 기업과의 지 표를 비교하여, 자신이 미흡하거나 부족한 점을 스스로 찾게 하는 제도이다.

이러한 목적을 갖는 정보보호 공시제도가 향후 발전하기 위해서는 다음 사항이 고려되어야 한다. 첫째, 정보보호 공시제도에 참여하는 기업의 수는 지속적으로 확대되어야 한다. 현재 공시되 는 항목 외에 추가적으로 공시되어야 하는 항목의 지속적인 개발이 필요하다.

둘째, 정보보호가 모든 산업 부문의 문제로 확대되고 있어서 정보보호는 이제 모든 산업부문 의 주요 경영 리스크가 되고 있다. 따라서 모든 산업 부문별 협단체와 협력해 각 부문별 공시 항목의 개발이 요구된다. 우리나라 코스닥 기업의 의무 공시 항목에도 포함되는 것을 고려해 야 한다.

셋째, 정보보호 공시제도에 참여하는 기업에 대한 세제혜택 등 인센티브의 부여가 필요하다. 기본적으로 침해사고를 막기 위한 기업의 노력은 여러 인센티브 제도를 통해 견인되어야 한 다.

넷째, 공시 항목의 구체적인 표준 개발도 필요하다. 예를 들어 정보보호 부문 투자를 구성하 는 구체적인 예산 항목을 정해야 각 기업이 자율적으로 해석을 막아 실질적인 항목의 산정이 가능하도록 해야 한다. 공시제도의 신뢰성 향상을 위해 제3의 평가기관에 의한 공시 현황을 평가와 분석이 필요하다. 매년 미흡한 점과 개선되어야 할 점을 찾아서 정부의 사이버보안 정책에 반영하는 일도 게을리하면 안 된다.

최근 개인정보를 포함한 많은 정보의 유출사고가 빈번히 발행하고 있다. 이러한 유출은 막기 위한 기업의 노력과 이러한 기업의 노력을 촉진하는 정부의 지원, 그리고 사이버 공간의 주 요 참여자의 협력이 절대적으로 필요하다. 정보보호 공시제도는 이러한 유출사고를 막는 기업의 사전 정보보호 활동으로 중요성은 강조돼야 한다.

Related Materials

• 제도안내 < 제도안내 < KISA 정보보호 공시 종합 포털, 2024년
• 2024년 정보보호 해외인증제도 획득 지원사업 - 한국정보보호산업협회, 2023년
• 미국: 행정부의 사이버보안 및 개인정보보호 정책 전망 - 개인정보보호위원회, 2025년
• [KISA Insight 2024 Vol.01] 미국 Cybersecurity 전략 및 실행계획 분석과 시사점 - 한국인터넷진흥원, 2024년
• 미국과 EU의 개인정보보호에 관한 법제 비교분석 - 동아대학교 법학연구소, 2024년

토스페이먼츠, 5년 연속 ISMS 인증 획득

💡Editor Pick - 토프페이먼츠 ISMS 재인증 : ISMS 인증 취득/유지는 정보보호 수준 강화를 위한 중요한 기틀 - ISO/IEC 27001:2022, ISO/IEC 27701:2019, PCI-DSS 레벨1 등 국제 기준 주요 보안 인증 유지중 정보보호 역량 입증… ISO, PCI-DSS 등 국제 인증도 지속 유지 보안 인력 6배 확대… “가맹점과 이용자

The Tech EdgeCheifEditor

안랩 V3 모바일 시큐리티, AV-TEST 평가서 만점...인증 획득

💡Editor Pick -5월 AV-TEST 모바일 부문, ▲진단율 ▲성능 ▲사용성 등 만점 기록 -2013년부터 총 71회 인증 획득 안랩(대표 강석균)의 V3 모바일 시큐리티가 글로벌 보안제품 성능 테스트인 AV-TEST의 최신 평가에서 인증을 획득했다. V3 모바일 시큐리티는 올해 5월 AV-TEST 안드로이드용 백신 부문에 참가해 ▲진단율(Protection, 악성 앱 탐지 능력) ▲성능(

The Tech EdgeCheifEditor

구글, 강력한 연령 인증 도구를 오픈소스로 전환

💡Editor Pick - 구글 ZKP 라이브러리 오픈소스로 제공 - ZKP : Privacy를 지키면서 인증 가능하도록 하는 기술 구글이 자사 프라이버시 기술 중 하나를 오픈소스로 풀었다. ZKP라고 불리는 일종의 라이브러리로, 사용자의 연령 확인을 위한 도구다. 구글은 자사 블로그를 통해 이러한 소식을 알리며, “ZKP를 사용하면 다른 어떤 정보도 제공하지 않고 연령만 확인이 가능하다”

The Tech EdgeJustAnotherEditor