연매출 3천억 이상 CISO 지정 상장사, 정보보호 공시 의무화

정보보호 산업법' 시행령 개정안 통과
공공기관·소기업 등은 제외

[아시아경제 차민영 기자] 앞으로 정보보호 최고책임자(CISO·Chief Information Security Officer)를 지정한 상장 법인 중 전년도 사업 매출액이 3000억원 이상인 기업은 매년 6월30일까지 정보보호 현황을 의무적으로 공개해야 한다.

과학기술정보통신부는 이런 내용을 담은 '정보보호 산업법' 시행령 개정안이 7일 국무회의를 통과했다고 밝혔다. 이 개정안은 이달 9일부터 시행된다.

이번 개정안은 회선 설비 보유 기간통신사업자와 집적정보 통신시설 사업자, 상급종합병원, 클라우드 컴퓨팅 서비스 제공자 등의 기업에 적용된다.

정보보호 공시 의무화 대상에는 CISO 지정 상장법인 중 직전 사업연도 매출액이 3000억원 이상인 기업과 전년도 말 3개월 간 정보통신 서비스 하루 평균 이용자 수가 100만명 이상인 기업도 포함된다. 단 공공기관, 소기업, 금융회사, 정보통신업 또는 도소매업을 주된 업종으로 하지 않는 전자금융업자는 제외다.

정보보호 공시 대상 기업은 매년 6월 30일까지 정보보호 현황을 전자공시시스템에 입력해야 한다.

과기정통부는 기업들이 쉽게 정보보호 공시에 참여할 수 있도록 정보보호 투자, 인력 산출방법, 활동 대상 기준 등을 담은 가이드라인을 연내 개정할 예정이다.

임혜숙 과기정통부 장관은 "최근 KT 네트워크 장애 사태에서 보듯 디지털과 네트워크에 대한 의존도는 어느 때보다도 높다"며 "이용자는 정보보호 공시를 통해 기업이 어느 정도 정보보호에 투자하는지 알 필요가 있고, 이를 통해 모든 산업에서 자연스럽게 정보보호 투자가 발생하는 선순환 구조가 정착되길 바란다"고 말했다.

차민영 기자 blooming@asiae.co.kr