• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

드디어 베일 벗은 정보보호 공시제도, 아직은 ‘미완성’ 2016.07.24

‘정보보호 공시 가이드라인 잠정안’ 꼼꼼히 분석해보니...
ISMS 인증수수로 감면 등 공시 인센티브...실효성 ‘미흡’
정보보호 투자·인력 현황 등 공시항목 기재방법...자세히 ‘설명’

[보안뉴스 권 준] 기업의 정보보호 투자를 활성화하는 촉매제 역할을 할 것으로 한껏 기대를 모았던 ‘정보보호 공시제도’가 드디어 베일을 벗었다. ‘정보보호 공시 가이드라인’ 잠정안이 22일 배포된 것. 지난해 12월부터 시행된 ‘정보보호산업의 진흥에 관한 법률(이하 정보보호산업법)’의 핵심골자 가운데 하나였음에도 반년이 지나서야 그나마 윤곽이 드러난 셈이다.

▲ 기업들의 보안성적표 공개를 유도하기 위해서는...


그럼 ‘정보보호 공시 가이드라인’ 잠정안에는 어떤 내용들이 담겨 있길래 그리 오랜 시간이 걸렸을까? 해당 가이드라인은 크게 △공시 개요 △공시 내용 △공시 방법으로 분류되며, 정보보호 공시 서식과 정보보호 제품·서비스 분류표가 별도로 첨부되어 있다.

정보보호 공시 시 인센티브, 실질적 혜택 ‘부족’
첫 번째, 공시 개요에서는 관련 법률 근거와 목적, 그리고 공시 대상 및 내용에 대한 소개가 주를 이룬다. 가이드라인에 따르면 ‘정보보호산업법’ 제13조에 근거를 둔 ‘정보보호 공시제도’는 기업의 주주, 고객 등 이해 관계자들이 의사결정에 필요한 정보보호 현황을 요구하고, 공시주체가 해당정보의 자발적 생산·유통하는 기반조성을 위한 제도다. 기업의 잠재적 재무상태 변화에 주요한 영향을 미칠 수 있는 정보보호 현황에 대한 주주의 알권리를 확보하는 데 목적이 있다는 설명이다.

이와 함께 정보보호 공시제도를 활용할 경우 정보보호 관리체계(ISMS) 인증 수수료의 30%, 이미 ISMS 인증 수수료 감면 조건에 해당되는 기업의 경우에는 최대 40%까지 감면해주는 공시 인센티브와 ISMS 인증을 받거나 정보보호 준비도 평가 AA등급 이상을 받은 자 중 정보보호 공시를 할 경우, ‘정보보호 투자 우수기업’으로 별도 우대한다는 혜택 내용도 포함되어 있다.

그러나 이 정도의 인센티브만으로는 기업들의 자발적인 정보보호 공시를 유도하는 데 한계가 있다는 지적도 나온다. 이에 따라 오는 27일 진행될 정보보호 공시제도 및 가이드라인 설명회에서 인센티브의 실효성을 두고 논란이 제기될 것으로 전망된다.

기업에서는 공시를 위해 실제 정보보호에 좀더 투자하고, 서식을 꼼꼼히 작성하는 등의 실질적인 노력과 함께 어느 정도의 리스크를 감수하면서까지 정보보호 투자·전문인력·인증 현황과 이용자 정보보호 활동내역을 공개하게 된다. 이러한 상황에서 ISMS 인증 수수료 일부 감면이나 ‘정보보토 투자 우수기업’이라는 간판(?)만으로는 기업들의 자발적인 정보보호 공시를 유도하기에는 턱없이 부족하다는 얘기다. 이에 인센티브를 좀더 다양화하고, 구체화하는 노력이 더욱 요구된다.

▲ 정보보호 공시 서식


정보보호 공시 서식 기재방법, 구체적으로 설명
두 번째, 공시 내용에서는 공시항목인 기업의 정보보호 투자·전담인력, 인증·평가·점검 현황, 이용자 정보보호 활동내역 등을 기재하는 각종 서식과 기재방법을 소개하는 데 초점을 맞췄다. 일례로 정보기술부문 투자액 대비 정보보호부문 투자현황을 공시하는 데 필요한 정보보호분야 관련 지출항목으로 정보보호 관련 인건비, 정보보호 시스템 구입비·임차료·유지보수비, 정보보호 서비스 이용료 등을 세부적으로 나열하거나 사내 정보보호 인력 현황을 산출하는 방법과 정보보호부문 인력의 주요 업무를 제시하기도 했다.

이번 가이드라인에서는 실제 공시가 필요한 각 항목들의 경우 실제 투자액이나 비율, 그리고 인력현황을 보다 쉽게 산출할 수 있도록 비교적 자세하게 안내를 하고 있었다. 다만, 일부 대기업을 제외하고 이렇듯 복잡한 산출과정을 거쳐야만 하는 정보보호 공시에 대한 기업 경영진과 주주들의 관심을 유도할 수 있는 방안은 아직 물음표로 남아 있다.

세 번째, 공시 방법으로는 미래창조과학부 장관이 운영하는 전자공시시스템(ISDS, https://www.kisis.or.kr)에 공시하는 방법과 기존 한국거래소가 운영하는 전자공시 시스템(KIND, https://kind.krx.co.kr)에 공시하는 방법이 있다. 공시기업이 유가증권·코스닥·코넥스시장 상장법인일 경우 ISDS 및 KIND에 각각 공시 가능하며, 비상장법인일 경우 ISDS에만 공시 가능한 것으로 알려졌다.

미래부는 오는 27일 설명회에서의 의견 수렴 절차를 거쳐 8월 중으로 정보보호 공시 가이드라인을 최종 확정하고, 제도를 본격 운영하겠다는 방침이다. 미래부에서도 ‘잠정안’이라고 밝혔듯 이번 가이드라인은 아직은 ‘미완성’이라고 할 수 있다. 특히, 공시 인센티브 등 기업들의 참여를 유도하는 방안에 대한 보다 폭넓은 고민이 필요해 보인다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>