정보보호 공시 배경

정보보호 공시제도는 2021년 처음으로 시행됐습니다. 정보보호산업의 진흥에 관한 법률 개정에 따라 공시의무대상 기업은 작년 6월 30일 전까지 정보보호 투자/인력/인증/활동 현황을 공시시스템상에서 의무 공시를 하게 됐습니다.

제도가 시행되기 전인 2016년부터 한국인터넷진흥원(KISA)에서는 사전 정보보호 공시 모의 수행 및 검증 지원 사업을 진행해 왔는데요.정보보호에 대한 객관적인 기업의 투자와 정보보호 활동을 판단할 수 있는 기준을 제시했습니다. 이를 통해 투자자/이용자에게 기업 신뢰도 평가와 이용자 보호를 위한 객관적 정보를 제공받아 평가할 수 있게 됐습니다. 

최근 ESG 경영과 기업의 ESG 평가에 국내외 정보보호 항목이 포함됐습니다. 기업 경영에서 고려해야 할 중요한 변수로 정보보호 투자 및 인력 현황과 같은 보안과 관련된 비재무적 요소가 포함된 것이죠. 이러한 흐름 속에서 정보보호 공시제도와 정보보호의 중요성이 급부상하게 됐습니다.

작년 첫 시행된 정보보호 공시제도를 통해 기업 고객과 서비스 사용자는 기업이 어느 정도 정보보호에 투자하고 있고, 정보보호 전담 인력을 얼마나 보유하고 있는지 알 수 있게 됐습니다. 기업 경영에 있어 보안을 얼마나 중요시하는지 객관적인 공시 자료를 통해 살펴볼 수 있게 된 것인데요. 특히 개인정보를 다수 보유하고 있는 서비스 기업의 보안 관련 투자와 전담 인력 보유 수준 등은 향후 제품이나 서비스 선택에 있어 하나의 기준이 될 수 있음을 보여줬습니다.

또한, ESG 경영이나 평가에 있어 정보보호 준수 및 수준 향상 등이 앞으로의 기업 경영과 향후 예상되는 공시 의무화 및 제품 서비스의 해외 수출에 있어서 리스크가 될 수 있는데요. 따라서 중 장기적인 관점에서 ESG 경영의 일환 및 평가지표로서 정보보호 공시제도의 중요성이 더욱 커질 것으로 예상됩니다.

아래는 제도 첫 시행 후 다수 언론을 통해 보도된 기사입니다. 전과 달리 정보보호 투자액과 비중, 그리고 전담인력의 수준을 기업별로 한눈에 확인할 수 있습니다.

한 가지 놀라운 사실은 국내에서 대규모의 사용자와 서비스를 제공하는 해외 서비스임에도 불구하고 정보보호 인력을 보유하고 있지 않거나 투자액을 공개하지 않는 다국적 기업이 있다는 사실이었습니다. 과연 내년에는 인력을 채용하거나 투자현황을 공개하게 될지 궁금해집니다.

정보보호 공시를 통한 ESG경영 기여 및 대외 신뢰도 향상

정보보호 자율 공시를 통해 정보를 공개하는 기업의 경우, K-ESG 점검 항목 충족을 통해 ESG 평가 지수가 향상될 수 있습니다. 이를 통해 기업의 대외 신뢰도 향상 및 사이버 대응 신뢰도와 대응 능력을 향상시킬 수 있죠. 또한 이용자 보호와 국내 정보보호 투자 활성화를 통한 수준 향상을 기대할 수 있습니다.

정보보호 공시는 단순하게 법/제도에 따라 의무적으로 수행해야 하는 업무일 뿐만 아니라 고객/투자자의 기업 가치를 평가하고, 신뢰도를 검증할 수 있는 하나의 평가, 측정 기준으로 진화하고 있습니다.

제도 수행 첫해였던 2021년, 모 기업의 요청으로 몇 개의 보안 프로젝트 중 하나로 정보보호 공시 프로젝트를 수행했는데요. 최근 화두가 되고 있는 ESG 경영 평가 척도이기에 많은 관심과 지원을 받으며 프로젝트를 수행하게 됐습니다.  

한 해로 끝나는 것이 아닌 향후 연속성을 가지고 수행될 업무이기에 고객이 큰 관심을 가졌는데요. 보안 유관 조직에서 수행하게 됐지만, 산정 기반이 기업회계 처리를 기반으로 하고 있어 새롭게 배우고 알게 된 점들이 많았던 좋은 계기였습니다. 

한국은 2025년부터 2030년까지 순차적으로 모든 한국거래소 상장사에게 ESG 공시를 의무화할 예정입니다. 주요 내용은, ① 지배구조, ② 전략, ③ 리스크 관리, ④ 지표 및 목표의 4개 영역으로 구성됩니다. 각 영역별로 요구하는 내용이 구체적으로 제시되어 있지만, 기본적으로 기후 관련 물리적 리스크 및 기회, 저탄소 전환에 따른 리스크 및 기회를 어떻게 관리하고 있는지에 관한 정보를 공시하도록 요구할 방침입니다. 

ESG 정보 공시 의무화 및 공시 범위를 확대하는 글로벌 추세

EU는 2018년부터 ‘비재무보고 지침(NFRD)’을 시행하고 있습니다. 상장 기업 1만 1,000여개가 지속가능경영 관련 공시를 해야 하죠.공시 내용은 환경보호, 사회적 책임과 종업원 처우, 인권, 반부패 및 뇌물, 이사회 다양성 등 다양한 이슈를 포괄하는데요. 2024년부터는 대상 기업이 거의 5만 개로 확대되고, EU가 정한 공시 기준을 따라야 하며, 공시 내용에 대한 제3자 검증을 받도록 규정하고 있습니다.

이번 글에서는 정보보호 공시 배경과 정보보호 관련ESG 동향에 관해 알아보았습니다. 다음 글에서는 정보보호 공시 개요와 함께 대응 업무 범위 및 수행 절차를 살펴보겠습니다.

[출처 및 참고자료] https://www.kisa.or.kr/post/fileDownload?menuSeq=401&postSeq=2882&attachSeq=1&lang_type=KO 정보보호 공시 가이드라인 à 한국인터넷진흥원 https://isds.kisa.or.kr/publish/list.do?pageNum=1&limit=10 à 정보보호 공시 종합포털(ISDS) https://www.kisa.or.kr/401/form?postSeq=2938 정보보호 공시 실무교육 – 교육자료 제공 정보보호_공시_가이드라인_개정본(2021.12.).pdf 첨부파일사전점검확인서(2종).zip 첨부파일 PDF(기업용)_정보보호_공시_실무교육.pdf 첨부파일 PDF(컨설팅용)_정보보호_공시_실무교육.pdf 첨부파일 PDF(한국인터넷진흥원)정보보호공시제도_소개자료.pdf42135643 http://www.motie.go.kr/motie/gov3.0/gov_openinfo/sajun/bbs/bbsView.do?bbs_seq_n=631&bbs_cd_n=30 à K-ESG 가이드라인 https://www.boannews.com/media/view.asp?idx=97971 à 겸직 예외 보도

글ㅣ LG CNS 사이버시큐리티팀 김진우 책임