내년부터 매출액 3000억원 이상 정보통신(IT) 분야 상장사는 매년 정보보호 관련 주요 사항을 공시해야 한다. 정보보호 부문 인력과 투자액 등이다. 정부는 당초 '매출 500억원 이상'을 공시 대상으로 추진했으나 기업 부담이 크다는 의견이 많아 기준을 완화했다.

과학기술정보통신부는 정보보호 공시 의무화 내용을 담은 '정보보호산업의 진흥에 관한 법률 시행령' 개정안이 국무회의에서 의결됐다고 7일 밝혔다.

그간 정보보호 공시는 기업 자율이었으나 올 6월 관련법 개정으로 일정 기준 이상 기업은 의무가 됐다. 시행령 개정안은 의무화 대상인 '일정 기준'을 정했다.

우선 정보통신서비스를 제공하는 대기업·중기업 상장사 가운데 전년도 매출액이 3000억 원 이상인 기업이다. 전년도 말 기준 직전 3개월간 정보통신서비스 하루 평균 이용자 수가 100만 명 이상인 곳도 공시 대상이다. 이밖에 △기간정보통신사업자 △인터넷데이터센터(IDC) 등 집적정보통신시설 사업자 △상급종합병원 △클라우드컴퓨팅서비스 제공 사업자 등이 포함됐다. 삼성전자, LG전자, 네이버, 카카오 등 웬만한 IT 대기업은 규제를 받게 될 전망이다.

금융회사는 정보보호 공시 의무화 대상에서 빠졌다. 이들은 전자금융거래법에 따라 이미 금융 당국에 정보보호 관련 사항을 포함한 사업 전반에 대한 자료를 제출하고 있다는 점을 고려했다.

매출 3000억원 이상 IT 기업 등은 내년부터 매년 6월말까지 △IT 투자액 대비 정보보호 부문 투자액 현황 △IT인력 대비 정보보호 부문 인력 현황 △정보보호 관련 인증·평가·점검 등에 관한 사항을 공시해야 한다. 투자액과 인력은 비율뿐 아니라 절대 규모도 공개해야 한다. 공시 의무를 어기면 최대 1000만원의 과태료를 매긴다.

정보보호 투자액과 인력이 얼마 이상이어야 한다는 기준은 없다. 다만 공시 대상 기업끼리 비교가 되기 때문에 투자가 적은 회사는 "투자를 늘려라" 등 압박을 받을 수 있다. 지금도 상당수 IT 대기업은 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 등 제도로 정보보호 관리 체계가 적정한지 평가·인증받고 있다. 이런 상황에서 추가로 정보보호 공시 의무를 부과하는 건 이중 규제라는 지적도 나온다.

다만 제도 적용 대상은 법안 논의 막판에 완화되긴 했다. 과기정통부는 당초 매출액 기준은 '500억 원 이상', 정보통신서비스 이용자 기준은 '10만 명 이상'을 밀어붙이려 했다. 하지만 "부담이 크다"는 업계 반발로 지금의 기준으로 한 발 물러섰다. 이 덕분에 정보보호 공시 의무 대상 기업 수가 당초 1500여개에서 수백개로 줄었다.

서민준 기자