정부가 정보보호 공시제도를 강화한다.
기존엔 회계법인이나 정보시스템 감리법인이 정보보호 공시 내용에 대한 사전점검을 할 수 있었지만 앞으로 사전점검을 수행하려면 과학기술정보통신부에 등록해야 한다. 사전검증을 받으면 사후검증 면제 혜택을 받기 때문에 사전검증기관에 최소한 자격요건을 부여하고 관리·감독을 강화하겠다는 취지다.
과기정통부는 이 같은 내용을 담은 '정보보호산업의 진흥에 관한 법률 시행규칙' 일부개정령안을 최근 입법 예고했다.
정보보호 공시제도는 정보보호산업법 제13조에 따라 기업 정보보호 투자·인력·인증 등 현황을 공개하는 제도다.
정보보호최고책임자(CISO) 의무지정 대상 중 매출 3000억원 이상 상장사, 일평균 이용자 수 100만명 이상 정보통신서비스 사업자 등이 의무 공시 대상이다. 정보보호 투자가 후순위로 밀리는 국내 산업계 풍토를 개선하고 적극적인 투자를 유도하겠다는 의도다.
정보보호 공시는 공시 의무기업이 공시 내용을 작성해 제출하면 정보보호 공시 종합 포털에 이를 공시하고, 과기정통부가 사후 검증하는 방식이다. 다만 회계법인이나 정보시스템 감리법인의 사전점검을 받은 경우 사후검증 대상에서 제외하도록 열어놨다.
사전점검을 받은 기업은 정부 관리 선상에서 벗어나는 만큼 사전점검기관의 신뢰성과 전문성이 무엇보다 중요하다는 평가다. 특히 역량이 부족한 기관이 형식적으로 사전점검을 수행하고 이를 근거로 잘못된 정보보호 현황이 공시되면 신뢰성을 크게 떨어뜨려 제도 근간을 흔들 수 있다.
실제 삼성전자 2022년 정보보호 공시가 도마 위에 올랐다. 삼성전자는 2022년 정보보호 투자액을 기존(6939억원)의 4분의 1 수준으로 줄어든 1717억원으로 수정했다. 2023년 정보보호 공시를 준비하는 과정에서 2022년 공시 내용 오류를 발견했기 때문이다. 과기정통부가 삼성전자 사례를 분석해보니 사전점검을 맡은 삼일회계법인이 가이드라인을 잘못 해석해 수치 입력에 오류가 발생한 것으로 확인됐다.
과기정통부가 사전점검기관 등록제를 도입하려는 이유다. 이번 시행규칙에선 과기정통부가 고시한 자격요건을 갖춘 사람 3명 이상 상시 고용 등 요건을 갖추도록 했다. 또 사전점검기관의 업무 수행능력과 인력 유지 여부 등을 평가하고, 등록기준을 충족하지 못하거나 사전점검 내용에 중대한 흠결이 발생하면 등록을 취소하는 등 관리·감독을 강화했다.
아울러 과기정통부는 업무 효율화를 위해 전담기관을 지정, 공시점검단 운영과 사전점검기관 등록·관리 등을 수행하기로 했다. 또 고시에 있던 공시취소 조항과 정보보호 공시 심의위원회 운영 등을 시행규칙으로 상향 입법한다.
과기정통부 관계자는 “전문성을 가진 기관이 사전점검을 해야만 공시 신뢰성을 높일 수 있으며 정보보호산업법 취지에도 부합한다”면서 “회계법인·감리법인뿐만 아니라 정보보호 전문가 등을 보유한 다른 기관도 자격 요건을 갖추면 사전점검이 가능하도록 문호를 개방한다는 의미도 있다”고 말했다.
조재학 기자 2jh@etnews.com
