정부가 올해부터 정보보호 공시를 부실하게 하거나 수정 요청에 따르지 않을 경우 과태료를 부과하기로 했다. 하지만 예산과 전담인력이 부족한 상황에서 제도의 실효성이 보장될 수 있을지 우려가 목소리가 나온다.
25일 과학기술정보통신부 등에 따르면 올해 정보보호 공시 의무대상 기업은 전년 대비 69개사 늘어난 655개사다. 이들 기업은 오는 6월30일까지 △정보기술부문 투자현황 대비 정보보호부문 투자현황 △정보기술부문 인력 대비 정보보호부문 전담인력 현황 △정보보호 관련 인증·평가·점검 등에 관한 사항 △그 밖에 이용자의 정보보호를 위한 활동 현황 등을 공시해야 한다. 결과는 연말에 종합 보고서 형태로 정리돼 공개된다. 과기정통부는 올해부터 정보보호 부실 공시 및 수정요청 미수용 기업에 과태료를 부과할 방침이다.
그러나 현재의 예산과 인력구성만으로 늘어난 기업에 대한 꼼꼼한 감시가 이뤄질지에 대해 회의적인 목소리가 나온다.
정보보호 공시제도는 과기정통부가 주관하지만 실무는 KISA(한국인터넷진흥원)가 담당한다. 그런데 KISA에서 공시제도를 전담하는 전담 직원은 단 3명에 불과하다. 이들이 각각 점검팀장을 맡아 회계사 및 감리사 등 전문인력으로 구성된 공시점검단을 운영한다. 이들 점검팀 3개의 전체 인원은 30명 정도다.
점검팀은 정보보호 관련 외부 감사를 받지 않은 기업들의 공시를 1차 점검한다. 자사의 정보보호 투자 규모를 비정상적으로 많게 적어낸 곳, 정보보호 전담인력이 비현실적으로 많은 곳 등 의심 기업들을 우선 점검 대상으로 분류한다. 반대로 투자규모나 전담인력이 너무 적은 곳도 점검 대상이 된다. 점검팀은 표본 기업에 직접 현장실사를 나가 공시내용과 맞는지, 정보보호와 관련해 어떤 조치들을 취하고 있는지 확인한다. KISA 직원 3명은 정보보호 공시 의무대상 기업들을 전부 방문해 공시 내용 및 방법 등을 설명하고 있다.
문제는 이처럼 기업을 추리고 현장 실사를 나가는 데 필요한 인력이 부족하다는 데 있다. 655개 사 정보보호 공시를 세 팀이 점검하려면 산술적으로 한 팀이 대략 218개 사를 담당하는데 너무 과중하다는 것이다. 특히 올해부터 과태료 규정을 마련해 사후검증을 강화했는데 현재 수준의 인력으로는 각 기업들의 정보보호 공시를 면밀히 확인할 수 없다는 것이다.
지난해만 하더라도 전체 648개 기업이 정보보호 관련 사항을 공시했는데 이 중 해당 공시 내용에 대한 외부 감사를 받아 확인서를 제출한 곳은 302곳에 불과했다. 나머지 346개사는 이같은 외부 확인서조차 제출하지 않았다. 과기정통부는 이들 346개사 중 단 40개 기업만 표본으로 추려내 점검을 진행했다. 나머지 306개사는 공시 내용의 신빙성을 검증할 장치가 없었덧 것이다.
실제 지난해 구글·MS(마이크로소프트)·AWS(아마존웹서비스)·오라클 등 글로벌 기업들이 정보보호 국내 전담인력을 모두 '0'으로 기재하는 등 부실공시한 사실도 뒤늦게서야 밝혀졌다. 이들은 정보보호 투자액을 아예 표기하지도 않았다. 국내 부문을 별도 산출하기 어렵다는 이유에서였다.
한 보안 업계 관계자는 "정보보호 공시 의무제도가 시행된 이후 기업들의 문의나 관심이 커진게 게 사실"이라며 "제도가 가진 긍정적인 측면이 분명한 만큼 관련 예산과 인력이 충분히 마련돼야 한다고 본다"고 말했다.
과기정통부 관계자는 "지난해가 정보보호 공시 의무 제도를 시행한 지 1년차여서 시행착오가 있었고 예산과 인력 제한 등으로 많이 부족했다"며 "올해는 조직을 정비해 직접 공시 검증을 확대할 계획이고 국회에서도 제도의 필요성을 인정받아 의무 대상기업을 더욱 확대해 나갈 계획"이라고 말했다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>