정보보호 공시 의무 전면 확대…상장사·ISMS 인증 기업 모두 포함

매출 기준 삭제하고 코스피·코스닥 전 상장사로 확대
공공·금융·소기업 예외조항 폐지…2027년 대상부터 적용
전방위 해킹 대응 범부처 대책 후속…기업 보안 책임 강화

서울 시내 한 주차장에 주차된 쿠팡 배송 차량. 연합뉴스

정부가 상장사 전반과 정보보호 관리체계 인증 기업까지 정보보호 공시 의무를 확대하며 기업의 보안 책임을 대폭 강화한다. 최근 잇따른 해킹 사고로 높아진 국민 불안을 해소하고 국가 차원의 정보보호 역량을 끌어올리기 위한 조치다.

과학기술정보통신부는 9일 "다음 달 19일까지 정보보호 공시 의무 대상자를 확대하는 내용을 담은 '정보보호산업의 진흥에 관한 법률 시행령' 개정안을 입법예고한다"고 밝혔다. 이번 개정안은 지난해 10월 관계부처 합동으로 발표한 '범부처 정보보호 종합대책'의 후속 조치다.

개정안의 핵심은 정보보호 공시 제도의 사각지대를 해소하는 데 있다. 먼저 기존에 상장기업에 적용하던 '매출액 3천억원 이상' 요건을 삭제했다. 이에 따라 유가증권시장과 코스닥시장에 상장된 모든 법인이 정보보호 공시 의무 대상에 포함된다.

정보보호 관리체계(ISMS) 인증 의무 기업도 새롭게 공시 대상에 포함된다. 그동안 공시 의무에서 제외됐던 공공기관, 금융회사, 소기업, 전자금융업자에 대한 예외조항도 모두 삭제된다. 제도 적용의 형평성을 높이고 사회적 영향력이 큰 조직의 정보보호 책임을 명확히 하겠다는 취지다.

과기정통부는 입법예고 기간 동안 공청회 등을 열어 기업과 전문가, 국민 의견을 폭넓게 수렴할 계획이다. 이후 관계부처 협의와 법제처 심사를 거쳐 2027년 정보보호 공시 대상자부터 개정 제도를 적용한다는 방침이다. 제도 시행으로 새롭게 의무 대상이 되는 기업과 기관의 부담을 줄이기 위해 공시 가이드라인 배포, 맞춤형 컨설팅, 교육 지원도 병행한다.

최우혁 과기정통부 네트워크정책실장은 "정보보호 공시는 기업이 사회적 책무를 이행하는 핵심 수단"이라며 "이번 제도 개선으로 더 많은 기업의 정보보호 현황이 공개돼 국민의 알 권리가 강화되고, 기업의 자발적인 보안 투자도 확대될 것"이라고 했다. 그러면서 "우리 사회 전반의 정보보호 수준을 한 단계 끌어올리는 계기가 될 것"이라고 덧붙였다.