[칼럼] 정보보호공시제 강화로 국내 기업의 정보보호 수준 강화 도모해야

[칼럼 염흥열 순천향대 정보보호학과 명예교수] 최근 지능화되고 조직화된 사이버 공격이 빈번히 발생하고 있다. 우리나라의 경우 모든 산업 부문에 대해 디지털 전환이 진행되고 있고 정보시스템을 이용한 인터넷을 통해 서비스가 제공되고 있다. 이에 따라 공격자 입장에서는 공격의 대상이 되는 기업의 정보시스템의 공격 표면이 전보다 휠씬 많이 넓어졌다. 또한 공격 목적도 금전적 목적을 포함해 사회 혼란, 국가 안보의 훼손에까지 영향을 미치고 있다.

최근 정보 유출사고는 산업 부문을 가리지 않고 발생하고 있다. 정보통신 기업, 인터넷 기업, 인터넷 쇼핑몰 등을 망라해 발생하고 있다. 따라서 정보보호는 특정 산업 부문의 문제가 아니라 모든 산업 부문의 경영 리스크로 부각되고 있다. 이는 우리나라 만의 문제가 아니라 전 세계적인 문제이기도 하다.

기업에서 정보보호를 강화하는 방법은 정보시스템에 대한 위험을 상시적으로 평가하고 그 위험에 대한 전략에 따라 보호대책을 수립하는 것이다. 이러한 보호대책은 위험을 아예 회피 하거나, 사이버보안과 같이 위험을 전가하거나, 위험을 크기를 줄이기 위해 보호대책을 수립 하는 것이다. 이러한 보호대책에는 기술적, 관리적, 조직적, 인적 보호대책이 있다. 이 모든 것들은 조직의 사이버보안 정책에 따라 운영되어야 한다.

정보보호 공시 의무화 제도가 공식적으로 2022년부터 정식 시행된다고 발표되었다. 안전한 인터넷 이용 및 정보보호 투자 활성화를 위하여 정보보호 투자/인력/인증/활동 등 기업의 정 보보호 현황을 일반에 공개하는 자율 또는 의무적으로 공시하는 제도이다. 이 공시제도의 법 적 근거는 “정보보호산업의 진흥에 관한 법률”의 13조에 근거하고 있다.

의무공시 기업은 인터넷 서비스 제공자, 매출액이 300억 이상인 기업, 일일평균 이용자 수 100만명 이상인 기업 등이며, 그 외 정보통신 사업자의 경우는 자율로 운영되고 있다. 의무적으로 공시해야 하는 기업은 매년 6월 30일까지 정보보호 현황 제출해야 한다. 코스닥 기업은 정보보호 공시가 의무적이지는 않지만 지속가능경영보고서에 정보보호 정책 및 조치, 인증 등의 항목을 포함할 수 있다.

정보보호 공시를 해야 하는 항목은 정보기술부문 투자 현황 대비 정보보호부문 투자 현황, 정보기술부문 인력 대비 정보보호부문 전담인력 현황, 정보보호 관련 인증ㆍ평가ㆍ점검 등 에 관한 사항, 그 밖에 정보보호를 위한 활동 현황 등이다.

정보보호공시제도는 모든 정보보호 문제를 해결할 수 있는 만능 제도는 아니다. 이 제도의 목적은 기업이 스스로 자신의 정보보호 관련 주요 지표 현황을 살펴보고, 다른 기업과의 지 표를 비교하여, 자신이 미흡하거나 부족한 점을 스스로 찾게 하는 제도이다.

이러한 목적을 갖는 정보보호 공시제도가 향후 발전하기 위해서는 다음 사항이 고려되어야 한다. 첫째, 정보보호 공시제도에 참여하는 기업의 수는 지속적으로 확대되어야 한다. 현재 공시되 는 항목 외에 추가적으로 공시되어야 하는 항목의 지속적인 개발이 필요하다.

둘째, 정보보호가 모든 산업 부문의 문제로 확대되고 있어서 정보보호는 이제 모든 산업부문 의 주요 경영 리스크가 되고 있다. 따라서 모든 산업 부문별 협단체와 협력해 각 부문별 공시 항목의 개발이 요구된다. 우리나라 코스닥 기업의 의무 공시 항목에도 포함되는 것을 고려해 야 한다.

셋째, 정보보호 공시제도에 참여하는 기업에 대한 세제혜택 등 인센티브의 부여가 필요하다. 기본적으로 침해사고를 막기 위한 기업의 노력은 여러 인센티브 제도를 통해 견인되어야 한 다.

넷째, 공시 항목의 구체적인 표준 개발도 필요하다. 예를 들어 정보보호 부문 투자를 구성하 는 구체적인 예산 항목을 정해야 각 기업이 자율적으로 해석을 막아 실질적인 항목의 산정이 가능하도록 해야 한다. 공시제도의 신뢰성 향상을 위해 제3의 평가기관에 의한 공시 현황을 평가와 분석이 필요하다. 매년 미흡한 점과 개선되어야 할 점을 찾아서 정부의 사이버보안 정책에 반영하는 일도 게을리하면 안 된다.

최근 개인정보를 포함한 많은 정보의 유출사고가 빈번히 발행하고 있다. 이러한 유출은 막기 위한 기업의 노력과 이러한 기업의 노력을 촉진하는 정부의 지원, 그리고 사이버 공간의 주 요 참여자의 협력이 절대적으로 필요하다. 정보보호 공시제도는 이러한 유출사고를 막는 기업의 사전 정보보호 활동으로 중요성은 강조돼야 한다.

Related Materials

• 제도안내 < 제도안내 < KISA 정보보호 공시 종합 포털, 2024년
• 2024년 정보보호 해외인증제도 획득 지원사업 - 한국정보보호산업협회, 2023년
• 미국: 행정부의 사이버보안 및 개인정보보호 정책 전망 - 개인정보보호위원회, 2025년
• [KISA Insight 2024 Vol.01] 미국 Cybersecurity 전략 및 실행계획 분석과 시사점 - 한국인터넷진흥원, 2024년
• 미국과 EU의 개인정보보호에 관한 법제 비교분석 - 동아대학교 법학연구소, 2024년

[칼럼] AI범죄, 수사기법 선진국 수준으로 법제화 돼야

💡Editor Pick - AI 범죄·부작용, 보안 강화·수사기법·사법 공조 강화해 예방해야 - 정부가 아낌없는 기술 지원해 보안기술 강화 및 확보해야 [칼럼 윤해성 한국형사·법무정책연구원 AI 미래정책연구실장] 영화 레지던트 이블을 보면 AI가 인간을 복제·통제하고 주인공이 설치한 폭탄으로 파괴하면서 소멸한 듯 했으나, 슈퍼컴퓨터 능력으로 자신을 다른 프로그램들에 업로드해 다시

The Tech EdgeCheifEditor

[칼럼] 미 법원, AI 학습 공정이용 첫 인정

[칼럼 이대희 고려대학교 법학전문대학원 교수] 인공지능(AI)을 학습(훈련)시키는 과정에서 데이터를 이용하는 것이 공정이용에 해당하는지에 대해서는 많은 논쟁이 이루어져 왔다. 학습데이터의 수집과 훈련 과정에서는 필연적으로 저작물의 복제가 수반되어 저작권 침해 문제가 발생한다. 이러한 침해에 대해 예외로 인정되는 것이 공정이용인데, 공정이용에 해당하면 저작권 침해가 부인된다. 지난 23일, 미국 연방지방법원(

The Tech EdgeCheifEditor

[칼럼] AI 보안, 국가 안보 제2 K방산

LLM만 키울 것인가, AI 보안은 누가 지킬 것인가 [칼럼 최대선 숭실대학교 AI안전성연구센터 센터장] 2025년 6월 4일, 신정부가 공식 출범했다. 출범 직후 발표된 ‘AI 대전환’ 전략과 ‘모두의 AI’ 프로젝트는 파운데이션 모델, AI 반도체, 데이터센터 등 초거대 AI 생태계 구축을 목표로 한다. 정부는 정예 개발팀을 공모하고, 인프라 구축과 LLM 중심의 연구개발에 막대한

The Tech EdgeCheifEditor