11일 정치권에 따르면 국회 과학기술정보방송통신위원회 소속 김상희 국회 부의장(더불어민주당)은 ICT 사업자의 정보보호 공시제도를 자율에서 의무로 전환하는 내용의 '정보보호산업의 진흥에 관한 법률'(이하 정보보호산업법) 개정안을 대표 발의할 예정이다. 개정안을 준비하는 과정에서 주무부처와 협의도 마쳤다.
현행 정보보호산업법은 ICT 사업자가 정보보호 투자와 인력, 정보보호 관련 인증 등 정보보호 현황을 자율적으로 공시하도록 규정한다.
하지만 기업들의 참여는 저조해 서비스 이용자나 투자자에게 기업의 정보보호 상황을 투명하게 공개한다는 취지가 무색해졌다. 기업들이 정보보호 관련 투자를 소홀히 할 수 있다는 우려도 나왔다.
김 부의장이 한국인터넷진흥원(KISA)에서 제출 받은 자료에 따르면 2016년 정보보호 현황 공시제 도입 이후 2020년 9월까지 공시를 이행한 기업은 37곳에 불과했다. 특히 네이버, 넷플릭스 등 국내외 주요 플랫폼 사업자는 공시에 참여하지 않았다.
지난해 기준 1조원 이상 매출을 올린 ICT 사업자들 중 정보보호 현황을 공시하고 있는 곳은 13곳이다. SK텔레콤·KT·LG유플러스 등 이동통신 3사와 CJ ENM 등이다. 네이버, 카카오 등 국내 포털 업체와 넷플릭스, 구글, 페이스북 등 글로벌 ICT 기업은 정보보호 현황을 공시하지 않고 있다.
이 외 공시 참여 ICT 사업자는 △매출액 1000억원 이상 1조원 미만의 티몬, 메가스터디교육 등 6곳 △500억원 이상 1000억원 미만 에듀윌 등 2곳 △100억원 이상 500억원 미만 팍스넷, 커리어넷 등 7곳 △50억원 미만 넥스트소프트 등 7곳이다.
주무부처인 과학기술정보통신부도 ICT 사업자들의 저조한 참여에 난색을 표하고 있다. 과기부 측은 "기업들의 참여를 독려하기 위해 공시를 희망하는 기업에게 400만원 상당의 컨설팅을 제공하고, 정보보호 관리체계(ISMS) 인증 수수료 일부를 할인해주고 있음에도 기업들의 참여가 저조하다"고 밝혔다.
김 부의장의 개정안이 국회를 통과할 경우 일정 규모 이상 ICT 사업자는 의무적으로 정보보호 현황을 공개해야 한다. 공시 대상 기업은 매출액을 기준으로 시행령으로 정한다.
김 부의장은 "이용자가 정보통신 서비스를 이용하기 위해선 개인정보제공 등에 대한 동의를 필수적으로 요구받게 돼 있다"며 "이용자의 개인정보를 기초로 정보통신 서비스를 제공하는 기업은 서비스를 이용하는 고객 정보보호 차원에서 정보보호에 대한 투자와 인력 현황을 반드시 공개해야 한다"고 밝혔다.
이어 "정보통신 서비스 기업이 정보보호에 대한 관리를 소홀히 하면 그 피해는 이용자들에게 돌아간다"며 "정보보호의 중요성에도 불구하고 현행법이 자율공시제로 운용되고 있어 한계가 있는데, 이번 개정안을 계기로 ICT 기업의 정보보호 관리·감독이 강화되고 정보보호 산업도 활성화될 것으로 기대한다"고 강조했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]