 |
| 변재일 더불어민주당 의원(충북 청주시 청원구)./아시아뉴스통신DB |
한국인터넷진흥원(KISA)의 정보보호 공시제도에 참여한 기업이 36곳에 불과한 드러났다.
한국인터넷진흥원은 기업의 정보보호 책임성 강화와 이용자의 알권리 보장을 위해 지난 2016년 8월부터 이 제도를 시행하고 있다.
13일 변재일 더불어민주당 의원(청주시 청원구)이 과학기술정보통신부로부터 제출받은 ‘정보보호 공시제도 참여기업 현황’ 자료에 따르면, 과기정통부는 2016년 8월부터 올해 7월까지 누적 74개 기업이 정보보호 공시에 참여한 것으로 제출했지만 중복기업을 제외하면 단 36곳에 불과하다.
과기정통부는 기업으로부터 정보보호에 대한 투자를 이끌어내고 각종 보안사고를 미리 예방하려는 취지에서 정보보호관리체계(ISMS) 인증 의무를 부여하고 있다.
과기정통부는 ISMS 인증제도와 정보보호 공시제도를 상호 보완적으로 운영하기 위해 정보보호 공시에 참여하는 기업을 대상으로 ISMS 인증 수수료를 30% 감면해주는 혜택을 제공하고 있다.
ISMS 인증 의무 대상기업은 정부가 정보보호 관리의 책임성이 높은 기업들을 한정해 놓은 것으로, 정보보호 공시제도의 대상 기업들을 선별할 때도 이를 포함하도록 고려해야 한다는 것이 과기정통부의 입장이다.
따라서 ISMS 인증 의무대상 기업을 정보보호 공시제도의 대상 기업으로 본다면, 정보보호 공시제도에 참여하고 있는 36개 기업은 ISMS 인증 의무대상 755개 기업의 5%에도 미치지 못하는 수준이라는 게 변 의원의 판단이다.
지난해에는 1억5000만원의 예산으로 총 28개 업체에 컨설팅을 지원했지만 이 중 21개 업체만 정보보호 공시에 참여했고 나머지 7개 업체는 공시에 참여하지 않은 것으로 확인됐다.
컨설팅을 신청하는 업체들은 기업의 신뢰도를 향상시키고 마케팅에 활용하려는 취지에서 자발적으로 신청을 하지만, 최종적으로 정보보호 관련 예산 비율이 저조해 공시하기 어려운 수준이거나 의무가 아니기 때문에 CEO 결심 단계에서 포기해버리는 경우가 많다는 것이 과기정통부의 설명이다.
현행법상 정보보호 공시는 의무사항이 아니므로 기업당 500만원의 예산을 들여 약 4회에 걸친 컨설팅을 진행하고도 기업 내부사정에 의해 공시를 하지 않겠다고 하면 이를 제재할 수 없는 실정이라고 한다.
변 의원은 “지난 7월 IBM이 발표한 보고서에 따르면 올해 한국의 24개 기업을 대상으로 분석한 결과, 데이터 유출로 인해 발생한 금전적 피해는 38억원에 달했고 전체 데이터 유출 사례 중 80%가 고객 개인식별정보 유출이었다”고 전했다.
그러면서 “기업의 정보보호에 대한 경각심을 높이고자 마련된 정보보호 공시제도를 제대로 운영하려면 보안사고 발생 시 국민생활에 영향을 미칠 것으로 우려되는 기업들을 대상으로 정보보호 공시를 의무화할 필요가 있다”고 지적했다.
memo340@hanmail.net
