사이버안보 공시 확대가 경제안보를 담보한다

유도진 2025. 8. 6. 16:24
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

정보보호 공시 대상 확대와 사이버 보안 대시보드 도입해야

[유도진 기자]

 사이버 보안
ⓒ 뤼튼
최근 기업들을 겨냥한 대규모 해킹과 개인정보 유출 사고가 연이어 발생하고 있다. 그럼에도 정작 각 기업의 사이버 보안 수준 및 투자 현황은 외부에서 쉽게 알기 어렵다. 기업들이 이를 공개하도록 하는 "정보보호 공시" 제도가 있긴 하지만, 그 대상과 범위는 제한적이다.

정보보호 공시란 기업이 자신의 사이버보안 현황을 대외 공개하는 제도로, 보안 투자 금액이나 전담인력, 인증 획득 여부, 최근 사고 발생 건수 등이 포함된다. 현재 이 제도는 일정 규모 이상의 조직에 한해 적용되고 있다. 구체적으로는 유가증권시장, 코스닥 상장기업 중 매출 3000억 원 이상의 대기업이나 일일 이용자 100만 명 이상의 ICT 기업, 주요 통신사, 데이터센터, 대형 병원 등이다. 이러한 제한적 대상 설정으로 인해 전체 산업 대비 공시 의무를 지는 기업 수는 671곳 남짓에 불과하다. 문제는 이처럼 범위가 좁으면 공시 제도의 취지인 전반적인 기업 정보보호 수준 향상에 한계가 있다는 것이다.

특히 현재 의무 대상에서 빠져 있는 금융권과 공공부문까지 공시를 의무화하는 방안을 적극 검토해야 한다. 금융업은 그간 금융당국의 별도 규율을 이유로 제외됐지만, 이제는 금융감독원 등이 보유한 보안투자 정보를 연계해 공개하는 방안을 모색할 필요가 있다. 공공기관 또한 단순히 내부 개인정보보호 수준 등급만 공공기관 경영정보공개시스템(알리오)에 공개하는 데 그칠 것이 아니라, 기관별 보안 투자와 노력 현황을 국민 앞에 보다 상세히 공시하도록 해야 한다. 이러한 대상 확대를 통해 산업 전반에 보안 투자와 관리 수준을 끌어올리는 효과도 기대할 수 있다.

이러한 공시 제도의 실효성을 높이려면 정보 공개 방식의 혁신도 요구된다. 현재 KISA(한국인터넷진흥원)가 운영하는 정보보호 공시 종합포털에 기업별 공시 내용이 게시되고 있으나, 일반 국민이나 투자자가 이를 이해하기 쉽지 않다. 주식시장의 주가 등락을 보여주는 대시보드를 떠올려보자. 이와 마찬가지로 기업들의 사이버 보안 수준 증감 추이를 한눈에 볼 수 있는 공개 대시보드를 만들면 어떨까. 기업별 정보보호 투자액이나 전문인력의 증감, 보안 인증 획득 여부, 최근 1년 내 보안 사고 발생 유무 등을 지표화하여 연도별 증감 추세를 그래프로 시각화 하는 것이다. 투자자가 언제든 접속해 확인할 수 있는 사이버 보안 지표 대시보드는 기업들에 투명한 경쟁 환경을 조성해줄 것이다. 스스로의 보안 수준이 경쟁사 대비 상승 추세인지 하락인지를 모두가 보게 된다면, 기업 입장에서도 보안 투자를 미룰 수만은 없을 것이다.

또한 공시된 정보를 평가 등급화하여 직관적으로 표현하는 방안도 고려할 만하다. 복잡한 수치를 나열하기보다 레드-옐로우-그린 등 신호등 등급제로 기업의 사이버 보안 수준을 표시하면 일반 국민도 쉽게 이해할 수 있다. 예컨대 그린은 보안 투자가 충실하고 사고도 없는 "양호" 상태, 옐로우는 보안 관리가 보통이지만 개선이 요구되는 "주의", 레드는 투자와 관리가 부족하거나 최근 사고 이력이 있어 적극 개선이 필요한 "위험" 상태로 구분하는 것이다. 이는 기업들에 자극과 동기를 부여한다. "레드" 딱지가 붙는 기업은 고객 신뢰에 타격을 입을 테니 조속히 개선하기 위한 노력을 기울이게 될 것이다. 반대로 양호 등급의 기업은 홍보 효과를 누려 보안 강화를 위한 선순환을 촉진할 수 있다.

이러한 플랫폼을 누가 운영할 것인가도 고민해야 한다. 현재 정보보호 공시 제도는 KISA가 맡고 있다. KISA는 전문성 면에서 적임자이지만 정부 산하기관이 모든 기업의 보안 수준을 평가하는 데 따른 객관성 시비가 있을 수 있다. 국가정보원은 국가 차원의 사이버안보 컨트롤타워이지만, 첩보 및 방첩 위주의 기관인 만큼 민간기업 평가를 공개 운영하는 역할이 맞는건지 고민해야 한다. 국가안보실 사이버안보비서관실이 총괄하는 방안도 있다. 하지만 정책 조율 역할 이상으로 직접 플랫폼을 관리하기는 어려울 것이다.

대안으로, '독립 민간 재단 혹은 위원회'에 위탁 운영하는 방안도 고려할 만하다. 정부가 제도와 예산을 뒷받침하되, 실제 평가는 산학 및 시민단체 전문가로 구성된 독립 기구가 맡는 것이다. 이렇게 하면 공정성과 신뢰성을 높이고 정치적 영향에서 벗어날 수 있다.

정보보호 공시 대상 확대와 사이버보안 대시보드 구축은 기업에 대한 징벌적 조치가 아니라 함께 모두의 사이버·경제 안보를 강화하자는 것이다. 기업의 사이버 보안 수준이 곧 민생과 경제를 지키는 보루라는 점을 견지해야 한다. 해킹으로 인한 피해는 해당 기업에 그치지 않고 주가 폭락, 산업 전반의 신뢰 상실로 연결된다. 반면 기업들이 앞다투어 보안 수준을 높이면 디지털 경제의 기본이 탄탄해져 국가 경쟁력이 상승하고, 국산 보안기술과 서비스 산업도 성장하는 선순환이 일어날 것이다.

정보보호 공시 제도는 2022년 의무화 도입 이후 다양한 분야 기업들의 보안 투자 확대와 책임의식 고취에 기여해 왔다. 이제 이를 발전시켜 국민의 알 권리를 보장하는 사이버안보 투명성 제도로 정착시킬 때다. 정부는 공시 대상 확대와 실질적 활용 방안을 구체화하고, 기업들은 자율적 참여와 개선 노력을 통해 응답해야 한다. 사이버안보 없이는 경제안보도 없다는 인식 아래, 안전한 디지털 경제 생태계를 구축하는 데 모든 이해당사자가 힘을 모을 때다.

덧붙이는 글 | 작성자는 극동대학교 해킹보안학과 교수입니다.

Copyright © 오마이뉴스. 무단전재 및 재배포 금지.