이달 9일부터 매출 3000억 원 이상인 상장사는 정보보호 투자, 인력 등 정보보호 관련 현황을 공시해야 한다.
과학기술정보통신부(과기정통부)는 이런 내용을 담은 ‘정보보호산업법’ 시행령 개정안이 국무회의를 통과했다고 7일 밝혔다.
이는 정보보호 투자 활성화와 이용자 보호를 위한 조치다. 지난 6월 정보보호산업법이 일부 개정되면서 법률 위임을 받아 의무대상 기준, 이행기한 등 제도 시행에 필요한 내용을 담은 시행령이 마련됐다. 공시 의무 대상의 범위와 기준은 학계, 법조계와 사업자단체, 대ㆍ중견ㆍ중소기업(정보보호 최고책임자) 등 각계 전문가와 이해관계자 의견을 종합해 세웠다.
정보보호 공시 의무 부과 대상 기준 중 사업 분야는 △회선설비 보유 기간통신사업자 △집적정보통신시설 사업자 △상급종합병원 △클라우드컴퓨팅 서비스제공자 등으로 정해졌다. 또한, 정보보호 최고책임자 지정ㆍ신고 상장법인 중 매출액 3000억 원 이상, 정보통신서비스 일평균 이용자 수 (전년 말 직전 3개월) 100만 명 이상 등도 의무대상 기준에 포함한다.
다만 기업의 규제 부담 완화 등의 의견을 반영해 공공기관, 소기업, 금융회사, 정보통신업 또는 도ㆍ소매업을 주된 업종으로 하지 않는 전자금융업자는 의무대상에서 제외했다.
개정안은 기업공시, 환경공시 등 타 공시제도의 이행 기간을 참고해 매년 6월 30일까지 기업별 정보보호 공시자료를 제출하도록 했다.
과기정통부는 정보보호 공시 의무화가 시행되는 만큼, 국내 기업과 기관의 정보보호 수준을 더욱 향상할 수 있도록 공시 전 과정을 컨설팅하고 교육하는 등 정책적 지원에 나선다. 또한, 기업들이 쉽게 정보보호 공시에 참여할 수 있도록 정보보호 투자, 인력 산출 방법, 정보보호 활동 대상 기준 등의 내용을 담은 ‘정보보호 공시 가이드라인’도 연내 개정한다.
임혜숙 과기정통부 장관은 “4차산업혁명의 디지털 대전환이 진행돼 최근 KT네트워크 장애 사태에서 보듯이 디지털과 네트워크 의존도는 그 어느 때보다도 높다”며 “이용자는 정보보호 공시를 통해 기업이 어느 정도 노력으로 정보보호에 투자하는지 알 필요가 있고, 이를 알리는 과정에서 경영진의 관심이 촉구되어 정보보호 투자가 자연스럽게 발생하는 선순환 구조가 모든 산업 분야에 정착되길 기대한다”고 말했다.