9일부터 정보보호 공시 의무화... 중복·과잉 규제 우려

오는 9일부터 매출액 3000억원 이상 기업들은 정보보호 공시를 의무화해야 한다. 업계에서는 보안 인증에 더불어 공시 의무까지 더해지면서 중복·과잉 규제라는 비판이 나온다.

7일 과학기술정보통신부에 따르면 이날 국무회의에서 '정보보호산업의 진흥에 관한 법률 시행령 개정안'이 의결, 9일부터 시행된다. 해당 법안은 일정 규모 이상의 기업은 반드시 정보보호를 공시해야 하며 이를 위반하면 1000만원 이하의 과태료가 부과된다는 내용을 담고 있다.

공시 의무 대상은 ▲유가증권시장·코스닥시장 상장법인 중 전년도(전 사업연도) 매출액 3000억원 이상 ▲전년도 말 기준 직전 3개월간 하루 평균 이용자 수 100만명 이상 등으로 대상을 정의했다. 

이에 따라 수백개가 넘는 IT 기업들이 의무적으로 정보보호를 공시해야 한다. 기존 자체적으로 정보보호를 공시하던 30~40개 기업들에 비해 대상이 대폭 늘어난 것.

정부는 정보보호 공시 의무화로 기업 정보보호 투자·인력 등 현황 정보를 투명하게 공개하고 이용자를 보호할 수 있다는 입장이다. 최근 해킹 등 사이버 공격이 높아지는 상황에서 의무 공시화 대상을 넓혀 데이터 유출을 방지하고, 정보보호 투자를 늘릴 수 있다는 것이다.

하지만 IT 업계에서는 이번 개정안에 대해 난색을 보이고 있다. 매출 3000억원이 넘는 대기업들 대부분이 보안 인증을 받고 있는 상황에서 또 다른 규제에 불과하다는 지적이다. 실제 현재 매출 1500억원 이상, 이용자 수 100만명 이상 IT 중견기업들은 보안 인증(ISMS-P)을 받고 있다.

정보 기술과 정보보호 기술에 대한 투자의 구분이 어렵다는 점도 지적의 요인이다. 기업별로 상이한 정보보호 투자 비용 및 비율을 일률적으로 단순 비교할 수 없다는 점에서다. 이렇게 되면 정보보호 투자 비용 산출 및 비용에 대한 왜곡될 수 있다고 지적한다.

금융사는 정보보호 공시 의무화 대상에서 빠졌다. 앞서 금융사들은 전자금융거래법 제21조 제4항(안정성의 확보 의무)에 따라 정보보호 현황을 해마다 금융당국에 제출, 공시 의무를 더하는 것에 불만의 목소리를 높였다. 은행연합회·금융투자협회·생명보험협회·손해보험협회·여신금융협회 등은 지난 10월 과기정통부에 공시 대상 제외를 요청하는 의견서를 제출한 바 있다.

업계 관계자는 "개정안 취지에는 찬성하지만, 기업들의 환경을 고려하지 않은 부분들이 많다"며 "제도의 실효성을 높이기 위해 중복·과잉 규제 부분을 해소해야 할 것"이라고 말했다.