경제타임스 여원동 기자 |  앞으로 코스피·코스닥 상장사 전체가 정보보호 공시 의무를 이행해야 하며, 공공기관과 금융회사 등도 정보보호 관리체계(ISMS, Information Security Management System) 인증을 받아야 한다. 지난해 발생한 대규모 정보 유출 사태를 계기로 정보보호 관리 책임을 전방위적으로 강화하기 위한 조치다.

과학기술정보통신부는 ‘정보보호산업의 진흥에 관한 법률’ 시행령 개정안을 다음 달 19일까지 입법예고한다고 1월9일 밝혔다. 이번 개정안은 지난해 10월 관계부처 합동으로 발표한 ‘범부처 정보보호 종합대책’의 후속 조치로, 정보보호 공시 제도의 사각지대를 해소하고 사회적 영향력이 큰 기업과 기관의 책임을 강화하는 데 초점을 맞췄다.

그동안 정보보호 공시는 연 매출액 3000억 원 이상 상장기업에 한해 의무화돼 있었다. 개정안은 이 기준을 삭제하고, 코스피·코스닥 상장 법인 전체로 공시 의무 대상을 확대했다. 또한 정보보호 관리체계(ISMS) 인증 의무 기업도 정보보호 공시 대상에 포함된다.

ISMS는 기업이 정보보호를 체계적으로 관리·운영하고 있는지를 평가하는 제도로, 전년도 기준 △매출액 100억 원 이상 △일 평균 이용자 수 100만 명 이상인 정보통신 기업은 인증을 받아야 한다. 이번 개정으로 그동안 예외로 인정됐던 공공기관, 금융회사, 소기업, 전자금융업자 등에 대한 면제 조항도 삭제된다.

과기정통부는 개정안을 2027년 정보보호 공시 대상자부터 적용할 계획이다. 제도 확대에 따른 기업과 기관의 부담을 완화하기 위해 공시 가이드라인 배포, 맞춤형 컨설팅, 교육 지원 등도 병행한다는 방침이다.

최우혁 과기정통부 네트워크정책실장은 “정보보호 공시와 인증 의무 확대를 통해 기업의 자발적인 보안 투자를 유도하고, 사회 전반의 정보보호 수준을 한 단계 끌어올리는 계기가 될 것”이라고 말했다.