[이진호 기자]

정부가 기업 정보보호 공시 제도를 손질한다. [사진: 셔터스톡]

<이미지를 클릭하시면 크게 보실 수 있습니다>

[디지털투데이 이진호 기자] 정부가 기업 정보보호 공시 제도를 손질한다. 기업의 보안 체계 수립 노력과 의사결정 구조까지 확인할 수 있도록 공시 항목을 확장하는 것이 핵심이다. 대형 침해사고가 반복되는 가운데 기업의 실질적인 보안 수준을 가늠하겠다는 취지다.

과학기술정보통신부는 최근 '정보보호 공시에 관한 고시' 일부개정안을 행정예고했다. 지난 10월 정부가 발표한 범부처 정보보호 종합대책의 후속 조치다.

정보보호 공시 항목을 추가·정비하는 게 이번 개정안의 골자다. 기존 정보보호 공시는 정보보호 투자액, 전담 인력 규모, 인증 보유 여부 등 정량적 지표 위주라 실제 보안 체계 구축 노력이나 의사결정 과정을 확인하기 어려웠다. 이번 개편은 기업들이 보안 정책과 운영, 대응 체계까지 공시에 담도록 해 정보보호 활동을 더 입체적으로 드러내는 게 목적이다.

개정안은 IT 자산 식별 목록 및 관리 정보보호 정책·지침 마련 및 운영 정보보호 전담 조직 운영 침해사고 대응 체계 수립 및 운영 이사회 등 최고의사결정기구의 정보보호 활동에 관한 의사결정 정보보호 교육 등 인식 제고 활동 등 6개 항목을 정보보호 공시 항목으로 수정·신설했다.

이 가운데 눈에 띄는 변화는 'IT 자산 식별 목록 및 관리'와 '침해사고 대응 체계 수립 및 운영' 항목이다. 최근 발생한 침해사고 다수가 제대로 파악되지 않은 IT 자산에서 시작됐다는 점이 반영됐다. KT에서 발생한 무단 소액결제 사고 역시 관리 사각지대에 놓인 초소형 기지국(펨토셀)이 발단으로 지목됐다. IT 자산을 명확히 식별하고 관리 체계를 공개함으로써 관리 사각지대를 노린 침해사고를 막는 게 이번 개편 목적이다.

침해사고 대응 체계 수립 및 운영 항목은 기업이 어떤 보안 정책을 갖추고 이를 어떻게 운영하고 있는지를 알리라는 취지다. 이사회 등 최고의사결정기구의 정보보호 활동 의사결정을 공시하도록 한 것도 보안을 경영 책임과 거버넌스 차원에서 점검하라는 취지를 담았다. 앞서 정부는 범부처 종합대책을 통해 최고경영책임자(CEO) 책임 강화와 보안최고책임자(CISO·CPO) 권한 강화를 제시한 바 있다.

다만 반드시 해당 항목들을 모두 정보보호 공시에 담아야 하는 것은 아니다. 과기정통부 관계자는 "의무사항이 아니라 구체적인 정보보호 체계와 분야를 제시하는 성격"이라고 설명했다. 또한 공시 제출서류 간소화를 위해 검증 동의서는 받지 않기로 했다.

한편 정부는 지난 10월 1차 대책에 이어 이달 중 2차 범부처 종합대책을 발표한다. 업계에서는 정보보호 공시에 현재 노력뿐 아니라 과거 발생했던 보안 사고까지 투명하게 공개해야 한다는 의견을 제시한다.

박춘식 전 아주대 사이버보안학과 교수는 "지금의 정보보호 노력뿐 아니라 해당 연도에 발생했던 사고도 공시하도록 해야 한다"며 "알 권리 측면에서 주주와 국민에게 보안 사고 현황을 소상히 알려야 한다"고 말했다.

이어 "제로트러스트와 같은 신기술 도입 현황이나 향후 계획 등 새로운 보안 강화 노력도 함께 담는 방안을 검토해야 한다"며 "장기적으로는 특정 핵심 항목을 반드시 공시에 포함하도록 하는 의무화 조치도 논의해야 할 것"이라고 덧붙였다.

<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>