내년부터 전 상장사·ISMS 기업까지 확대…금융사 예외도 삭제
자율공시 비중 줄었는데 준비는 ‘제자리’…시장 규율 효과 기대
정부가 정보보호 공시 의무 대상을 대폭 확대하는 시행령 개정을 추진하면서 금융권도 공시 준비에 나서고 있다. 반복된 해킹사례에도 자율공시 중심이던 금융사까지 제도권 공시 체계에 포함될 가능성이 커지면서 업권 전반의 대응이 본격화될지 주목된다.
27일 한국인터넷진흥원(KISA)에 따르면 정보보호 자율공시 기업 가운데 금융 및 보험업 비중은 2023년 22.2%(63건 중 14건)에서 2024년 18.0%(91건 중 17건), 2025년 16.8%(107건 중 18건)로 낮아졌다. 절대 건수는 소폭 늘었지만 전체 자율공시 확대 속도를 따라가지 못하면서 상대적 비중은 줄었다.
정보보호 공시는 기업의 정보보호 인력, 투자액, 인증 현황 등을 외부에 공개하는 제도다. 현재는 매출액 3000억 원 이상 상장사와 이용자 100만 명 이상 서비스 기업 등이 의무공시 대상이며, 그 외 기업은 자율공시 방식으로 참여할 수 있다. 다만 지난 1월 공개된 정보보호산업법 시행령 개정안에 따르면 내년부터 의무공시 대상은 코스피·코스닥 전체 상장사와 정보보호 관리체계(ISMS) 인증 의무기업 등으로 확대될 예정이다. 과학기술정보통신부는 현재 시행령 개정을 위해 관계부처 협의와 법제처 심사 등 후속 절차를 진행 중이다.
과기정통부에 따르면 개정안이 통과될 경우 그간 예외로 분류되던 금융회사와 공공기관이 포함되면서 정보보호 의무 공시 대상은 기존 666개 수준에서 2000여 개로 늘어날 전망이다.
특히 고객의 개인정보, 계좌 정보, 거래 내역 등 민감한 데이터를 보유한 금융권은 이번 개정으로 상당수 계열사가 의무공시 대상에 포함될 가능성이 높다. 최근 금융권에서 해킹·정보유출 사고가 이어지고 있으나 정보보호 관련 자발적 공시는 여전히 제한적인 수준이다. 국회 정무위원회 소속 강민국 의원실에 따르면 금융권 해킹 사례는 2023년 5건, 2024년 4건을 기록한 데 이어 2025년 10월까지 8건으로 다시 증가세를 보이고 있다. 지난해 297만 명의 개인정보를 유출한 롯데카드는 최근 영업정지와 과징금을 받는 등 사고 발생 시 제재 수위도 높아지고 있다.
이에 금융당국은 금융보안에 특화된 디지털금융안전법 제정도 추진 중이다. 여당은 개인정보 유출 시 총매출액의 3% 이하를 과징금으로 부과하는 등 제재를 강화하는 내용의 전자금융거래법 개정안을 발의한 바 있다.
그럼에도 불구하고 업계 전반의 준비는 아직 초기 단계에 머물러 있다. KISA에 따르면 지난달 진행된 정보보호 공시 사전점검 컨설팅에 참여한 50개 기관 중 금융사는 8곳에 그친 것으로 파악됐다.
정보보호 공시는 기업의 보안 투자와 운영 수준을 외부에 공개해 시장의 평가를 받도록 하는 장치로, 공시 확대 자체가 보안 투자 유인을 높이는 효과로 이어질 수 있다는 평가가 나온다. 서병호 금융연구원 선임연구위원은 “정보보호 공시 자체가 금융사 해킹 사례를 직접 줄이는 효과는 제한적일 수 있다”면서도 “기업 간 비교가 가능해지면 투자 수준이 낮은 기업은 자연스럽게 개선 압박을 받는 ‘시장 규율 효과’가 나타날 수 있다”고 말했다.
