[데이터링] "제조업 1곳 검증 거부"…맥빠진 정보보호 공시 의무제도

[아이뉴스24 김혜경 기자] 지난해 정보보호 공시 의무화가 본격화됐지만 허위·불성실 공시에 대한 사후검증을 강화해야 한다는 지적이 나온다. 사후검증 대상으로 지정된 기업 1곳이 내부 사정을 이유로 자료 제출을 거부하면서 제도적 실효성을 높이기 위한 보완이 필요한 상황이다.

7일 과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면 사후검증 대상 표본으로 선정된 기업 40곳 가운데 39곳은 정정 공시를 완료했지만 1개사는 검증 자료 제출을 거부한 것으로 나타났다.

이 기업은 매출액 3천억원 이상의 중견 제조업으로 알려졌다. 과기정통부 관계자는 "이번 정정 공시 대상기업들은 대부분 공시 작성 방식에 대한 이해 부족으로 잘못 작성한 경우가 많았다"며 "검증 자료 제출을 거부한 기업은 담당자 퇴사와 회사 내부 일정으로 공시업무 대응이 어려웠다는 입장"이라고 말했다.

앞서 과기정통부가 공시 의무대상 사업자로 확정한 곳은 598개사다. ▲기간통신사업자 39곳 ▲데이터센터 사업자 31곳 ▲상급종합병원 33곳 ▲클라우드 컴퓨팅 서비스 제공 사업자 12곳 등이다. 이와 함께 유가증권시장·코스닥 시장 상장법인 중 전년도 매출액이 3천억원 이상인 기업 464곳, 일평균 이용자 수가 100만 명 이상인 기업 24곳이 포함됐다. 당초 603곳이었지만 흡수합병 2곳과 금융위원회 예외기준에 해당하는 3곳이 제외됐다.

지난해 12월 말 발표된 '정보보호 공시 현황 분석보고서'에는 627개사의 정보보호 투자 현황을 분석한 내용이 담겼다. 이중 의무공시 기업은 565곳, 자율공시는 62곳이다. 보고서 작성 시점인 11월 21일까지 정정 공시를 완료한 기업만 포함돼 일부는 정정 공시 등을 이유로 제외된 바 있다. 사후검증 이후 정정 공시는 12월 말까지 진행됐다.

기업이 사후검증을 거부하는 경우 이를 강제한 수단이 없다는 점이 문제다. 기업 협조를 전제로 실시되기 때문이다. KISA가 지난 6일 공개한 '정보보호 공시 가이드라인' 개정본에 따르면 사후검증 표본을 임의 선정한 후 기업과의 협의를 통해 검증이 진행된다. 의무 대상 기업이 정보보호 공시 자체를 위반할 경우 1천만원 이하 과태료 처분을 받지만 사후검증을 거부하거나 허위 내용이 발견될 경우 제재 가능한 수단이 현 시점에서는 없는 셈이다.

국회입법조사처가 발간한 '정보보호 공시 의무화의 의의와 향후 과제' 보고서는 ”의무공시 시행 첫해로 허위·불성실 공시에 대한 검증과 제재 필요성이 큰 상황"이라며 "사후검증 대상에서 제외하는 것 외에 별다른 제재가 없었음을 고려할 때 입법적 보완이 필요할 것으로 보인다"고 분석했다.

기업의 정보보호 현황은 위험관리 관련 주요 정보다. 대다수 기업은 그동안 정보보호 문제에 관심을 갖지 않았지만 최근 사이버 공격이 급증하면서 기업의 지속가능 경영과도 맞물린다는 것. 글로벌 컨설팅 기업 맥킨지에 따르면 2025년까지 사이버 공격으로 인한 손실 규모는 2015년 대비 300% 증가한 10조5천억달러에 이를 것으로 전망된다.

정보보호 공시는 'K-ESG 가이드라인' 평가항목을 비롯해 ESG 관련 해외 평가기준위원회·평가사가 제시하는 '산업별 중대성(Materiality)'과도 연계될 가능성이 높다. 기업의 재무상태에 영향을 미칠 수 있는 정보보호 현황에 대해 공개함으로써 투자자의 알 권리를 확보하고, 소비자 선택권을 강화해야 한다는 지적이다. 사후검증과 제재 수단을 강화, 공시 신뢰성을 확보해야 한다.

K-ESG 가이드라인 사회(S) 부문 중 '정보보호 시스템 구축' 항목에는 ▲최고정보보호책임자(CISO) 선임 ▲정보보호 시스템 인증 ▲취약성 분석 ▲보험가입 여부를 비롯해 정보보호 공시 이행여부가 포함됐다. 미국 지속가능회계기준위원회(SASB) 등은 '고객 프라이버시(Customer Privacy)', '데이터 보안(Data Security)' 등을 사회 부문 중대성 이슈로 보고 있다.

국회 과학기술정보방송통신위원회 박성중 의원(국민의힘)은 지난해 11월 '정보보호 산업의 진흥에 관한 법률 일부 개정안'을 대표 발의한 바 있다. 관련 근거 규정이 과기정통부 고시에만 존재해 제도의 실효성 확보에 어려움이 있다는 이유에서다. 기업이 사후검증 등을 거부할 경우 과태료를 부과한다는 내용이 골자다. 과기정통부 측은 "상임위에 신속한 법안 진행을 요청했으므로 개선될 것으로 기대하고 있다"고 전했다.

/김혜경 기자(hkmind9000@inews24.com)