사이버공격이 국가 안보를 위협할 정도로 극성을 부리는데다, 대부분의 사이버 공격이 기업을 통해 유포된다는 점에서 기업들의 정보보호 투자가 시급하다며 법을 만들어 놓고도 법을 지킬 수 있는 가이드라인을 제시하지 않아 기업들의 참여를 유도하지 못하고 있는 셈이다.
■법 시행 5개월 지나도록 가이드라인 못 정해 법 적용 못해
25일 미래창조과학부에 따르면 상장사들이 정보보호 현황을 공시할 수 있도록 하는 정보보호산업진흥법이 지난해 연말 시행됐지만 구체적인 공시 가이드라인이 마련되지 않아 법을 제대로 적용하지 못하고 있는 실정이다.
정보보호산업진흥법에는 상장사는 기업의 주요 경영내역을 공시할 때 정보보호 준비도 평가 결과 등 정보보호 관련 인증 현황을 포함해 공시할 수 있도록 했다. 이 경우 정보보호 관리체계 인증을 받을 때 납부해야할 수수료의 30%를 할인받을 수 있다.
정보보호 사항 공시는 법적으로 의무화된 사항은 아니어서 상장사들이 자발적으로 참여해야 한다.
이에 따라 미래부와 인터넷진흥원은 법 시행 이후 분기보고서나 사업보고서에 정보보호 투자현황과 인력현황 등 정보보호 관련 활동들을 어떻게 기재하는지를 담은 가이드라인을 마련해 상장사들의 자발적 참여를 유도하기로 했지만 아직 가이드라인을 내놓지 않고 있는 것이다.
미래부 관계자는 "현재 검토중이어서 검토만 끝나면 본격적으로 공시가 될 것"이라면서도 "가이드라인 시행 일정은 아직 확정되지 않았다"고 말했다.
■정보보호 현황 공시하면 투자 활성화 기대
사이버인질극으로 불리는 랜섬웨어를 비롯한 악성코드를 동반한 사이버공격이 잇따르면서 정보보호 투자의 중요성이 갈수록 높아지고 있다.
이로써 정보보호 현황을 공시해 회사의 정보보호 실태를 알릴 경우 투자자들의 신뢰도 또한 높이는 촉진제가 될 수 있다는 전망이다.
정보보호 현황 공시가 활성화될 경우 정보보호 투자에 인색했던 기업들의 투자도 이끌어낼 수 있다는 점에서 관련 공시를 촉진시켜야 한다는 목소리가 높다.
미래부는 지난해 공청회에서 최고정보보호책임자(CISO) 감독 아래 IT 투자 대비 정보보호 투자 비중과 IT 인력 대비 정보보호 인력 비율 등도 공시되도록 하겠다고 밝혔다.
일각에선 정보보호 공시가 활발해지면 정보보호 투자나 인력이 적은 상장사가 사이버 공격 표적이 될 수 있다는 우려도 제기하지만 긍정적인 측면이 더 많을 것이란 의견에 무게가 실리고 있다.
업계 관계자는 "기업들은 아직도 정보보호를 위한 투자 필요성을 못 느끼고 있다"며 "정보보호 투자가 기업 경쟁력 향상의 요인이 될 수 있다는 분위기 조성을 위해서라도 관련 공시가 활성화되면 자발적인 투자 환경도 쉽게 만들어질 것"이라고 말했다.
hjkim01@fnnews.com 김학재 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지