연매출 3000억 이상 기업, 정보보호 공시 필수

내년부터 CISO(정보보호 최고책임자)를 지정한 상장 법인 중 전년도 사업 매출액이 3000억원 이상인 기업은 정보보호와 과련한 주요 사항을 공시해야 한다. 과학기술정보통신부는 정보보호 공시 의무화 등의 제도를 담은 '정보보호산업법' 시행령 개정안이 국무회의를 통과해 오는 9일부터 시행에 들어간다고 7일 밝혔다.

이번 시행령은 지난 6월 정보보호산업법이 일부 개정됨에 따라 마련했다. 개정안을 보면 정보보호 공시 의무 대상은 회선설비 보유 기간통신사업자, 집적정보통신시설 사업자, 상급종합병원, 클라우드컴퓨팅 서비스 제공자다. CISO 지정·신고 상장법인 중 전년도 매출액 3000억원 이상 기업과 정보통신서비스 일일평균 이용자 수 100만명 이상(전년도말 직전 3개월간) 기업도 공시 의무화 대상에 포함됐다. 다만 기업의 규제 부담 완화 등의 의견을 반영해 공공기관, 소기업, 금융사, 정보통신업 또는 도·소매업을 주된 업종으로 하지 않는 전자금융업자는 의무대상에서 제외했다.기업공시, 환경공시 등 타 공시제도의 이행 기간을 참고해 매년 6월30일까지 기업별 정보보호 공시자료를 제출토록 규정했다.

과기정통부는 정보보호 공시가 국내 기업·기관의 정보보호 수준을 더욱 향상하는 계기가 될 수 있도록 정보보호 공시 전 과정 컨설팅, 교육 등 다양한 정책적 지원을 마련할 계획이다. 또한 기업들이 쉽게 참여할 수 있도록 정보보호 투자, 인력 산출 방법, 활동 대상 기준 등의 내용을 담은 가이드라인을 개정한다.임혜숙 과기정통부 장관은 "이용자는 정보보호 공시를 통해 기업이 어느 정도 노력으로 정보보호에 투자하는지 알 필요가 있다"며 "이를 알리는 과정에서 경영진의 관심이 촉구돼 정보보호 투자가 자연스럽게 발생하는 선순환 구조가 모든 산업 분야에 정착되길 기대한다"고 말했다.윤선영기자 sunnyday72@