앞으로 정보통신서비스 제공자의 상당수와 매출액 500억 원 이상의 상장사는 정보보호에 대한 공시를 의무적으로 하게 될 것 같다. 2021년 6월 8일 개정되어 오는 12월 9일 시행되는 정보보호산업의 진흥에 관한 법률은 정보통신서비스 제공자로 하여금 자율 공시, 즉 이용자의 안전한 인터넷이용을 위하여 정보보호 투자 및 인력 현황, 정보보호 준비도 평가 결과, 정보보호 인증 등 정보보호 현황을 자율 공시하도록 하던 기존 규정에 더하여 사업 분야, 매출액 및 서비스 이용자 수 등을 고려하여 일정 규모 이상의 기업으로 하여금 정보보호 현황 공시를 의무화하고, 공시하지 아니할 경우 1천만원 이하의 과태료 부과하는 규정을 도입하였다.

후속으로 일정 규모 이상의 기업 기준을 정하는 시행령안이 입법예고 되었는데, 시행령안은 정보보호 의무 공시자를 다음과 같이 정하였다: ①전기통신사업법 제6조 제1항에 따라 등록한 기간통신사업자, ②정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조에 따른 집적정보통신시설 사업자, ③의료법 제3조의4에 따른 상급종합병원, ④클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제2조 제3호에 따른 클라우드컴퓨팅서비스를 제공하는 자, ⑤유가증권시장 또는 코스닥시장에 상장된 주권을 발행한 법인 중 전년도 매출액이 500억원 이상인 자, ⑥전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 10만명 이상인 자.

ESG에서 S의 주요한 축이 개인정보보호 및 정보보안이라는 점에서 기업이 그에 대한 정보를 공개하는 것이 중요하나, 2016년부터 운영되었던 자율공시제도의 경우 지속적인 사이버 보안사고 증가 및 기업의 경제적 손실에도 불구하고 20년 기준 45건으로 공시 이행 기업은 연도별 중복을 제거하면 총 52개社에 불과할 정도로 참여가 저조하였다. 이에 개정 정보보호산업법과 그 하위 법령안은 정보보호 공시 의무화를 도입하면서 의무대상자의 범위를 예상보다 상당히 넓혔다. 미국, 일본에서도 기업의 사이버 보안 관련 정보(예산, 인력, 관리체계 등)를 공개하도록 하고 있고, 정보보호 관리·감독 강화, 사이버 위협 예방 및 대응역량 제고, 정보보호 투자 촉진 등의 목적 달성과 무엇보다 이용자의 알 권리 관점에서 폭넓은 정보보호 공시의무 제도 도입의 필요성에 공감하면서, 제도 이행의 성과에 대해서도 나름 기대를 가져본다.

이근우 변호사 (법무법인 화우)