2027년부터 코스피와 코스닥에 상장된 모든 법인이 매출 규모와 관계없이 정보보호 공시 의무 대상에 포함된다. 과학기술정보통신부의 시행령 개정으로 기존 ‘연 매출 3000억원 이상’ 조건이 삭제됐기 때문이다. 이에 따라 각 기업의 정보보호 최고책임자(CISO)는 매년 6월 30일까지 직전 사업연도의 정보보호 투자액, 인력 현황, 관련 인증 및 활동 실적을 한국인터넷진흥원(KISA) 포털에 등록해야 한다.
정보보호 공시는 기업의 보안 활동을 △투자 △인력 △인증 △활동 등 4대 항목의 수치와 증빙 자료로 구조화해 설명하는 제도다. 의무 공시 대상 기업이 이를 이행하지 않거나 허위로 공시할 경우 최대 1000만 원 이하의 과태료가 부과된다. 올해 9월 11일 시행 예정인 개정 개인정보보호법에 따르면 고의나 중과실에 의한 중대한 위반 발생 시 전체 매출액의 최대 10%까지 과징금이 부과될 수 있다. 다만 평상시 정보보호 공시를 통해 보안 투자와 운영 실적을 객관적으로 입증하면 사고 발생 시 과징금 감경 사유로 인정받을 수 있다.
12일 정보보호 전문 기업 지란지교시큐리티의 ‘정보보호 공시 전략 가이드북’에 따르면 기업의 핵심 대응 방안은 ‘실시간 증빙 축적’과 ‘솔루션 리포트 활용’이다. 공시는 단기간에 준비할 수 없으며 수행 직후 계획서와 결과 보고서 등 증빙 자료를 체계적으로 보관해야 사후 검증에 대응할 수 있다. 이때 보안 솔루션이 자동 생성하는 월간 운영 리포트는 정기 점검 활동의 직접적인 증빙 자료로 인정된다.
지란지교시큐리티의 이메일 보안 솔루션인 ‘스팸스나이퍼’나 파일 내 위험 요소를 제거하는 ‘새니톡스’의 운영 리포트는 점검 및 운영 활동 증빙에 기여한다는 설명이다. 악성 이메일 모의훈련 솔루션인 ‘머드픽스’는 교육 및 훈련 참여 인원과 이수율 등 정량적인 성과 지표를 자동으로 산출한다.
지란지교시큐리티의 가이드북에 따르면 정보보호 관리체계 인증(ISMS)을 획득하기 어려운 중소 상장사의 경우 클라우드 보안 인증(CSAP)을 획득한 솔루션을 도입·운영하고 있다는 사실을 ‘주석’이나 ‘활동 현황’에 서술해 보안 노력을 증명하는 전략이 유효하다. 지란지교시큐리티는 기업의 보안 운영 데이터 제공부터 산출 기준 점검까지 공시 전 과정을 지원한다. 회사는 정보보호 투자액 산출 시 구축형 제품은 자산으로 등록한 후 해당 연도 감가상각비로, 구독형(SECaaS)은 연간 서비스 이용료로 분류해 재무 데이터에 반영할 것을 제안했다.
다만 보안 인프라와 전문 인력이 부족한 중소 상장사는 공시 준비 과정에서 실무적인 운영 비용 부담과 데이터 집계의 어려움을 겪을 가능성이 크다. 이들은 CISO 지정 및 신고 등 비용이 들지 않는 기본 요건부터 우선 충족하고 단계적으로 핵심 보안 솔루션을 도입해 공시 항목을 채워나가는 로드맵이 필요하다는 것이 지란지교시큐리티의 설명이다.
출처 : 블로터(https://www.bloter.net) 기사 원문 보기