정부 행정망(온나라시스템) 해킹, SK텔레콤 유심 해킹, KT 소액결제 해킹, 예스24 랜섬웨어 공격 등 올 한해 국내에서 발생한 대규모의 보안사고가 끊이지 않고 있다. 이 같이 최근 국내외 해킹 피해가 잇따르며 사이버 보안에 대한 국민적 불안이 커지고 있지만, 정부의 정보보호 공시제도가 기업들에게는 요식행위에 불과했다.

한국인터넷진흥원으로부터 받은 ‘최근 5년간 정보보호 공시 의무대상’의 자료에 따르면 올해 기준 정보보호 공시 의무대상은 총 666개 기업이며, 이 가운데 23.7%인 158개 기업의 정보보호부문 인력이 아예 없는 것으로 나타났다. 26개 기업은 정보보호최고책임자(CISO)를 지정조차 하지 않았다. 이 같은 내용을 국회 과학기술정보방송통신위원회 소속 이상휘 의원(국민의힘, 포항 남·울릉)이 공개했다.

정보보호공시제도는 정부가 국민의 안전한 인터넷 이용과 기업 정보보호 투자 활성화를 위해 일정 규모 이상 기업을 대상으로 하며, 정보보호 투자와 전담 인력, 관련 활동 등 기업의 정보보호 현황을 의무 공개하는 제도다. 국민에게 기업의 보안 수준을 투명하게 공개해 자율적 경쟁을 유도하기 위한 제도이지만 실제 기업들은 요식행위에 그치고 있으며, 관리기관의 모니터링도 허술한 것이다.

특히 해외에 본사를 두고 있는 구글, 메타, 오라클 등 글로벌기업은 국내 정보보호 전담인력과 투자액을 아예 표기하지 않았다. 이들 기업은 글로벌 시장에서 사업을 운영하는 만큼, 국내 정보·보호 투자 자료를 따로 산출하는 것이 어렵다는 입장을 냈다.

정보보호 공시제도의 특징은 ‘신뢰 구축과 기업 이미지 제고’로 고객과 투자자에게 기업의 정보보호 수준을 공개해 신뢰를 얻고, 기업의 사회적 책임을 다하는 모습을 보여줄 수 있다. 또 ‘정보보호 역량 강화’로 공시를 통해 기업은 정보보호 투자와 인력 확보에 대한 동기를 부여받으며, 실제로 공시 의무화 이후 정보보호 인력 비율이 증가하는 경향이 나타났다. ‘이용자 보호 확대’로는 정보통신서비스 이용자의 개인정보와 데이터를 안전하게 보호하기 위한 기업의 책임을 강화한다. ‘디지털 전환 시대의 대응’으로는 인공지능, IoT, 클라우드 등 디지털 기술의 확산으로 사이버 위협이 증가하는 가운데, 정보보호 공시는 기업의 대응력을 평가할 수 있는 기준이 된다. ‘투명성과 지속가능성 확보’에서는 기업의 정보보호 현황을 공개해 국민의 알권리를 보장하고, 국내외 시장에서 기업의 지속가능성과 가치 평가에 긍정적 영향을 미친다.

이상휘 의원은 “일부 기업들은 CISO의 기본 연봉이 높아 CISO를 채용하는 대신 연 1000만원의 과태료를 납부하는 등 ‘도덕적 해이’가 벌어지고 있다”며 “해킹과 개인정보 유출이 이어지는 가운데서도 많은 기업이 보안 투자에 인색하다”고 비판했다. 이어 “지금의 정보보호 공시제도는 공시만 있고 보안 대책과 후속 조치는 없다”며 “해킹의 불안을 잠재우기 위해 정부는 즉각 제도를 개선하고 실효성을 높여야 한다”고 덧붙였다.