▲ 임홍철 전문위원 ⓒ 세이프타임즈
▲ 임홍철 전문위원

정보보호 공시제도가 지난 1일 발효됐다. 이 제도는 안전한 인터넷 이용, 정보보호 투자 활성화를 위해 정보보호 최고책임자(CISO) 지정·신고 대상 상장법인 가운데 매출액 3000억원 이상인 기업을 대상한다.

정보보호 투자·인력·인증·활동 등 기업의 정보보호 현황을 공개하도록 요구하는 의무공시제도로 정보보호산업의 진흥에 관한 법률과 시행령에 근거를 두고 있다.

공시제도가 제정된 이유는 네 가지 정도로 요약된다.

무엇보다도 정보보안에 대한 기업의 투자 규모를 외부에서 알기 어렵기 때문이다. 기업의 규모와 상관없이 내부에서 집행되는 지출은 기업이 공개해야만 그 정확한 규모를 알 수 있는 경우가 많다.

특히 정보보호와 같은 특수한 분야는 별도로 관련 지출들을 분리하지 않으면 기업 내부의 회계담당자도 그 정확한 규모를 모르는 경우가 허다하다. 이런 상황은 대기업이 정보보호에 대한 예산투자를 하지 않고 있어도 외부에서는 알 수 없다.

또 많은 기업들이 정보보안 관련 지출을 투자가 아닌 비용으로 인식하고 있기 때문이다. 경영상황이 나빠지거나 외부적 환경이 좋지 않은 경우 비용 축소의 대상으로 간주된다는 것을 의미한다.

정보보안 인력을 줄이거나 관련 투자를 삭감하는 대상이 되기 일쑤다. 공시를 통해 삭감·축소 대상으로 전락하는 상황을 막겠다는 의도가 있다고 볼 수 있다.

공시의 특성을 이용해 기업의 정보보호 투자 확대를 유도하기 위해서다. 공시자료는 정보보호산업진흥포털을 통해 누구나 이용할 수 있다. 공시자료를 통한 비교 기사들이 언론에 등장, 의도했던 소기의 목적 달성을 했다고 보인다. 

경영진의 관심을 유도하기 위해서다. 경영진의 관심을 이끌어낼 수 있어야 선제적 투자가 활성화되고 정보보안 수준의 향상도 기대할 수 있기 때문이다.

기존 투자는 기업 내부에 침해사고가 발생하거나 동종업체에서 사고가 발생, 울며 겨자 먹기 식으로 이루어지는 경우가 대부분이었다. 수동적 투자의 특성상 대체로 불필요한 지출이 이루어진다고 간주됐다.

공시를 통해 기업간 비교를 통해 경영진을 자극, 정보보안에 대한 관심과 투자를 이끌어내고자 하는 것이다.

이처럼 다양한 목적을 가지고 이제서야 비로서 한걸음 나아간 제도지만 피하기 어려운 큰 아쉬움이 있다. 정보보호산업진흥포털의 공시 방식 때문이다. 기업이 제공한 수백개의 공시자료를 그저 단순 목록의 형태로 게시하고 있기 때문이다.

의도한 본래의 목적을 달성하기 위해서는 자료를 쉽게 조회할 수 있어야 한다. 기업의 규모나 서비스 업종별 등 다양한 형태로 공시자료를 조회할 수 있도록 제공해야 한다.

어지간히 알려진 기업이 아니고서야 이름만으로 업종을 유추하기는 쉽지 않다. 게다가 많은 기업들이 두 가지 이상의 업을 병행하고 있는 점을 감안한다면 더욱 그렇다. 패션기업이 화장품 사업을 하는 경우도 많다. 제조기업이 쇼핑몰 사업을 병행하는 경우도 존재한다.

포털은 공시자료를 이렇듯 자세히 분류·조회할 수 있도록 제공하지 못하고 있다. 자료는 있으니 필요한 사람이 스스로 뒤져서 찾으라고 강요하고 있는 모양새다.

당연히 자료의 활용도는 낮아지고 효과 역시 미약해지기 십상이다. 아쉬움이 남는 이유다.

공시자료를 등록하는 대상이 확대될 예정이라고 하지만 이 같은 상황이라면 자료는 몇 배로 늘어나도 활용도의 향상은 요원하다.

좋은 제도가 본래의 목적을 달성하지 못하고 기업들에게 추가적인 일거리만 던져주는 용두사미로 전락하지 않을까 우려된다. 단지 한걸음 더 나아가지 못해서 말이다.

저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지

관련기사