보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

[외부 법률 기고] 정보보호 공시제도와 ESG

2024.06.04

119

2021년부터 시행된 ‘정보보호 공시제도’는 ‘정보보호산업의 진흥에 관한 법률(이하 ‘정보보호산업법’) 제13조에 따라 주요 기업의 정보보호 투자·인력·인증현황 등 정보보호 현황을 공개하는 제도다. 최근 ESG 경영과 기업의 ESG 평가에 국내외 정보보호 항목이 포함되었다. 즉, 기업 경영에서 고려해야 할 중요한 변수로 정보보호 투자 및 인력 현황과 같은 보안과 관련된 비재무적 요소가 포함되었고 이러한 시대적 흐름 속에서 정보보호 공시제도와 정보보호의 중요성이 급부상하게 된 것이다. 정보보호 공시제도를 통해 기업 고객과 서비스 사용자는 기업이 어느 정도 정보보호에 투자하고 있고, 정보보호 전담 인력을 얼마나 보유하고 있는지 알 수 있게 되었고 개인정보를 다수 보유하고 있는 서비스 기업의 보안 관련 투자와 전담 인력 보유 수준 등은 소비자의 향후 제품이나 서비스 선택에 있어 중요한 기준이 되었다.

[그림 1] 정보보호 공시제도 개요 (출처 : 정보보호 공시 종합 포털)

관련해, 개인정보보호위원회는 최근 개인정보 60만 건의 유출사고가 발생한 ㈜엘지유플러스에 대하여 과징금 68억 원과 함께 과태료 2,700만 원을 부과하고, 전반적인 시스템 점검 및 취약부분 개선 등 재발 방지를 위한 시정 조치(안)를 의결한 바 있는데 중점적인 판단요소로 고려되었던 것이 다른 통신사에 비해 현저히 떨어지는 전문 보안 인력과 정보보호에 대한 투자이다. 실제로 LG유플러스의 2022년 정보보호 투자액은 292억 원으로 경쟁사(SK텔레콤 860억 원, KT 1021억 원)보다 현저히 적었고, 정보보호 인력 역시 SK텔레콤 305명, KT 336명보다 적은 91명이었다. 이처럼 정보보호에의 투자 및 역량은 개인정보 보호법 리스크 관리와도 무관하지 않다.

정보보호산업법에 따라 작년 공시 의무 대상 기업은 △기간통신사업자 △상급종합병원 △클라우드 컴퓨팅 서비스 제공 사업자 △데이터센터 사업자 △전년도 매출액 3000억 원 이상 △일평균 이용자 수 100만 명 이상 중 하나에 해당하는 총 652곳이다. 의무 대상 기업이 공시하지 않을 경우 최대 1000만 원의 과태료를 처분 받는다. 과학기술정보통신부(이하 ‘과기정통부’)가 공간한 2023년 정보보호 공시 현황 분석 보고서에 따르면 정보보호 투자 업종별 1위 기업으로는 제조 삼성전자(2434억 원), 통신 KT(1034억 원), 도‧소매업 쿠팡(639억 원), 건설 삼성물산(128억 원) 등이 꼽혔다.

전반적으로 정보보호에 대한 투자가 확대되는 가운데 제조업과 건설업 등 일부 업종에서는 정보보호 활동이 저조한 것으로 확인됐다. 과기정통부는 “제조업과 건설업의 정보보호 활동이 다른 업종에 비해 낮아 정보보호 최고 책임자 및 경영진의 지속적인 관심과 노력이 필요해 보인다”라고 말했다. 제조 기업의 정보보호 투자 저조는 해커들이 제조업을 집중 겨냥하는 원인으로 꼽힌다. SK쉴더스는 올해 국내를 향한 전체 위협 중 20%가량이 제조업을 노린 공격으로 확인됐다고 밝혔다.

정보보호 공시 내용의 검증 및 수정, 공시 취소 등은 ‘정보보호 공시에 관한 고시’에 근거해 행정지도 형태로 운영되고 있었다. 하지만 기업이 검증에 필요한 자료를 불성실하게 제출하거나 검증을 거부하는 경우 또는 검증에 따른 정정 요청을 거부하는 경우에도 이를 강제할 법적 근거가 마련돼 있지 않아 입법적 보완이 필요하다는 문제 제기가 있었고, 작년 정보보호산업법 개정안이 국회를 통과해 공시가 부실하거나 허위인 경우 과기정통부가 해당 기업에 검증 또는 수정을 요청할 수 있게 되었고, 이에 응하지 않는 기업은 최대 1000만 원의 과태료 처분을 받을 수 있게 되었다.

국내외 시장에서 기업의 가치 및 지속 가능성 제고를 위해 정보보호 역량 강화의 필요성이 커지고 있고, 국민의 알 권리 확보에 대한 사회적 요구도 확대되고 있는 만큼 정보보호 공시 의무화 대상 역시 점차 확대될 것으로 예상된다. 기업으로서는 개인정보 침해 예방조치가 단순한 비용이 아닌 기업 경쟁력 강화의 전제이며 사회적 책임임을 이해하고 정보보호 역량 강화에 대한 아낌 투자를 통해 ESG 경영을 선도하는 기업으로 거듭날 것을 기대한다.

법무법인(유한) 화우

법무법인(유한) 화우는 1세대 로펌문화를 이끌어 온 법률가들이 뜻을 모아 2003년에 설립한 젊은 로펌으로서 창립 이래 지속적인 성장을 통하여 짧은 기간 내에 대한민국 대표 로펌 중 하나로 발돋움하였습니다.
화우는 최고의 전문가만이 최고 수준의 서비스를 제공할 수 있다는 믿음 아래, 국내변호사 360여명, 외국변호사 40여명, 회계사/변리사/세무사 100여명 등 500여명의 전문인력을 통해 수준 높은 법률서비스를 제공해드리고 있습니다. 또한 24개 법률분야에 관해 20개의 전문팀을 구성하여 다양한 분야에 걸쳐 전문적이고 체계적인 원스톱 법률서비스를 제공하고 있습니다.
화우 정보보호센터는 입법경향과 기술 및 산업의 변화에 대한 전문지식과 실무능력을 겸비한 과학기술정보통신부, 방송통신위원회 출신 고문 및 변호사들이 변호사 약 50여명으로 구성되어 있으며, 개별적 사안에 대한 즉시 대응뿐만 아니라 수시로 바뀌는 정부기관의 규제, 입법, 실사와 소송등에 고차원적이고 입체적으로 자문과 대리를 수행하고 있습니다.