올해 정보보호 인력·투자 공개 첫 의무화…3월 대상기업 명단 나온다

KISA, 3월 첫주 웹사이트에 의무대상 기업명단 게시 예고

국내서비스 주체에 따라 글로벌 기업에도 의무 부과 방침

[그래픽=임이슬 기자]

정보보호 인력·투자 현황을 공개하는 '정보보호 공시' 의무 대상 기업 명단이 발표된다. 이용자가 많은 온라인 서비스를 운영하는 기업, 정보통신기술(ICT) 인프라 제공사, 매출 규모가 큰 상장사 등 수백 곳이 2021년 정보보호 인력·투자 현황을 외부에 드러내야 한다. 공시 의무 대상에 넷플릭스·메타(전 '페이스북')·구글·네이버·카카오 등이 포함될 가능성이 높다.

14일 과학기술정보통신부 산하 기관인 한국인터넷진흥원(KISA)은 오는 3월 첫째주 웹사이트 등에 정보보호 공시 의무 대상 기업 명단을 게시할 예정이라고 밝혔다. 연 매출 3000억원 이상인 코스피(KOSPI) 상장사, 클라우드·데이터센터·인터넷 회선 사업자, 작년 10~12월 일평균 이용자 100만명 이상인 앱·게임 서비스나 웹사이트를 운영하는 회사가 이 의무 대상에 해당한다.

정보보호 공시는 기업·기관이 조직의 정보보호 분야 전담인력 수, 전체 IT 분야 예산 가운데 정보보호 분야 예산 금액, 정보보호 강화를 위한 직원교육·내부점검과 관련 인증 취득 등 현황을 요약해 과기정통부 전자공시시스템에 게시하는 활동이다. '정보보호산업의 진흥에 관한 법률'을 근거로 지난 2016년 시행됐고, 작년에 이 법과 시행령이 개정됨에 따라 일부 기업에 공시가 의무화됐다.

작년 12월 말 개정된 KISA의 '정보보호 공시 가이드라인'에 따르면 올해부터 매년 3월 첫째주에 정보보호 공시 의무 대상 기업리스트가 KISA 웹사이트 공지사항 등에 게시된다. 이 리스트에 포함됐으나 실제 의무 대상이 아니라고 판단하는 기업은 3월 31일까지 KISA 정보보호 공시 담당자에게 의무 제외를 위한 소명자료를 내야 한다. 의무 대상 기업은 6월 30일까지 공시를 이행해야 한다.

KISA는 외국에 본사를 두고 있는 다국적 기업도 일평균 이용자 100만명 이상인 서비스를 운영하는 등 관련 기준을 충족한다면 정보보호 공시 의무 대상에 포함한다는 방침이다. KISA 관계자는 "글로벌 기업의 본사와 국내 법인 중 국내 서비스를 제공하는 주체가 누구인지에 따라 공시 의무 대상이 결정된다"며 "대상이 아닌 글로벌 기업도 자율적으로 공시를 할 수 있다"고 설명했다.
 

[사진=게티이미지뱅크]

KISA는 가이드라인을 통해 정보보호 공시 기업이 IT와 정보보호 부문 투자액을 각각의 유·무형자산(감가상각비), 비용(자산·인건비 제외), 인건비로 산출해야 하고, 이를 확인하기 위해 회계부서 협조를 통해 자산대장, 비용원장, 외주용역 내역, 인건비 내역 자료를 근거로 '투자액 집계표'를 작성해 보관해야 한다고 설명했다.

정보보호 산업의 진흥에 관한 법률에 따라 지정된 우수정보보호제품, 정보보호 성능평가를 받은 제품을 개발·도입한 내역은 공시 서식의 '주요 투자 항목'에 작성할 수 있다. 주요 투자 항목은 기업이 공시 대상 연도에 이용자 보호와 보안 수준 향상을 위해 시스템 구축과 제품 구입에 투자한 대표적인 항목을 나타내기 위해 선택적으로 작성하는 자리다.

공시 기업은 정보보호 투자비중(%)에 대한 업종·규모별 착시효과를 완화하기 위해 자율적으로 기업별 정보보호 투자 현황에 대해 설명하거나 '기타 노력 사항'을 서술형으로 작성할 수 있다. 예컨대 '신산업 연구개발을 위한 IT 투자가 늘어 정보보호 투자비중이 낮아 보이지만 해당 금액이 전년 대비 몇 % 상승했다'고 강조할 수 있다.

다국적 기업의 국내외 관계사가 정보보호 시스템 등을 공동 이용하는 등의 상황으로 인해 '국내 정보보호 투자액'을 별도로 구분·작성하기 어려운 경우 '특기사항' 항목을 통해 정보보호 관련 노력을 설명해야 한다. 이런 기업은 예를 들어 '한국 내의 A 서비스 제공을 위해 본사는 B의 기간통신서비스와 정보보호 시설 등을 활용하고 있어 정보보호 투자 현황 또한 그에 준한다'고 작성할 수 있다.

공시 기업은 인력 현황 산정 시 기초 자료로 조직도, 원천징수이행사항명세서(신고 인원수 표시)가 필요하고, IT와 정보보호 부문별 내부인력과 외주인력을 포함한 인원명단을 작성해야 한다. IT와 정보보호 관련 업무를 하고 있더라도 고객사 IT 서비스를 목적으로 근무하는 파견 직원은 제외된다. 특정 프로젝트 파견 기간 이외에 복귀해 내부 업무를 수행한 인력은 해당 기간만큼 인력에 산입된다.

또 인력 현황의 일부로 기업별 정보보호최고책임자(CISO), 개인정보보호책임자(CPO)의 직책, 임원여부, 겸직여부, 대표적인 내·외부 활동 건수 등을 작성해야 한다. 이는 공시 대상 연도에 CISO, CPO가 정보보호 관련 발표(강연 등), 학술지 기고, 위원회 운영, 외부 자문, 자격 취득 등을 한 사례를 의미한다.

공시 기업은 정보보호 인력비중(%)에 대한 업종·규모별 착시효과를 줄이기 위해 자율적으로 기업별 정보보호 인력 현황에 대해 설명하거나 참고할 사항을 서술형으로 작성할 수 있다. 예를 들어 'IT기업으로서 전 직원의 상당수가 IT 부문 인력이라 정보보호 전담인력의 비중이 낮다'거나, '자체 정보보호 부문 인력 없이 IT전문기업의 C 서비스를 통해 전문적인 정보보호 서비스를 운영 중'이라고 할 수 있다.

이밖에 공시 서식에는 정보보호·개인정보보호 관리체계 인증, 정보보호 준비도 평가, 클라우드보안인증(CSAP), ISO/IEC 27001, ISO/IEC 27017, CSA STAR, SOC 등 기업이 취득한 국내외 정보보호 관련 주요 인증과 평가·점검을 위한 노력이 기재될 수 있다. 사이버위협정보공유시스템(C-TAS) 활용 등 협력 활동, 사이버 위기대응 모의훈련 참여, 업무연속성계획(BCP) 수립 등 정보보호를 위한 활동 현황도 포함될 수 있다.
 

정보보호 공시 목적 [자료=한국인터넷진흥원]