정보보호 공시 의무 全상장사로 확대

과기부 개정안…2027년 시행
'매출 3000억 이상 조건' 삭제
정보보호관리체계 인증 의무도

정부가 국가 전반의 정보보호 역량을 강화하기 위해 정보보호 공시 의무 대상자를 상장사 전체로 확대한다.

9일 과학기술정보통신부는 ‘정보보호산업의 진흥에 관한 법률 시행령’ 개정안을 이날부터 다음달 19일까지 입법예고한다고 밝혔다. 지난해 10월 관계부처 합동으로 발표한 ‘범부처 정보보호 종합대책’의 후속 조치 중 하나다.

개정안에 따르면 기존 상장 기업에 적용된 ‘매출액 3000억원 이상’ 조건이 삭제된다. 이에 따라 기존 666곳이던 정보보호 공시 의무 기업이 유가증권시장과 코스닥시장 상장 법인 전체(2673곳)로 확대된다. 정보보호관리체계(ISMS) 인증 의무 기업도 공시 의무 대상에 새롭게 포함된다. 그간 의무 대상에서 제외됐던 공공기관과 금융회사, 소기업, 전자금융업자에 대한 예외 조항도 삭제한다. 은행 등은 금융위원회 등을 중심으로 전자금융거래법 규제를 받아 정보보호 공시 대상에서 빠져 있었다. 사실상 모든 상장사가 정보보호 수준과 사고 이력, 조직·예산 현황 등을 시장과 투자자에게 공개해야 하는 구조로 바뀌는 셈이다. 미이행 시 1000만원 이하 과태료가 부과된다.

과기정통부는 후속 절차를 거쳐 2027년부터 개정된 정보보호 공시 제도를 본격 시행할 계획이다. 신규로 편입되는 기업·기관의 부담을 고려해 공시 가이드라인을 마련하고 맞춤형 컨설팅·교육 지원도 병행한다. 최우혁 과기정통부 네트워크정책실장은 “기업의 자발적인 보안 투자 확대를 유도해 사회 전반의 정보보호 수준을 한 단계 끌어올리겠다”고 말했다.

보안업계에서는 환영하는 분위기다. 2022년 공시 의무화 이후 대상 기업의 정보보호 투자액은 2023년 1조8318억원에서 2024년 2조1196억원, 2025년 2조4230억원으로 꾸준히 늘었다. 보안업계 관계자는 “사고가 터질 때만 쓰던 보안 비용이 공시 제도로 인해 연간 예산으로 자리 잡기 시작했다”고 말했다.

이영애 기자 0ae@hankyung.com