[김국배기자] 내달 시행을 앞둔 정보보호 공시 제도에 대해 기대와 우려가 교차하고 있다.
소비자 선택권 강화, 기업의 자발적 정보보호 투자 증대, 주주의 알권리 확보 등 취지는 좋지만 자율 공시인 데다 기업을 끌어들일 유인책이 부족해 실효성에 대한 의문이 제기된다.
일각에선 오히려 공시가 정보보호 사고가 발생할 경우 기업에 면죄부로 악용될 수 있다는 지적까지 나온다.
27일 미래창조과학부 주최로 서울 중구 포스트타워에서 열린 '정보보호 공시제도 설명회'에서는 공시 제도에 대한 다양한 의견이 나왔다.
'정보보호산업의 진흥에 관한 법률'을 근거로 마련된 정보보호 공시 제도는 정보보호 투자(액), 인력 현황 등을 공개하는 것이 골자다. 정보보호 관리체계(ISMS) 인증 수수료 30% 감면을 인센티브로 제시하고 있다.
중앙대 정보보호연구센터장 최명길 교수는 "공시를 하기 위해선 공인회계사, 감리법인를 써야 하는데 여기에 들어가는 비용과 인증 수수료 감면 혜택을 비교해봐야 한다"며 "투자 대비 효과가 작을 수 있다"고 지적했다.
최 교수는 "공시제도가 시작되면 기업은 지금보다 훨씬 많은 정보보호 투자를 해야 할텐데 투자자가 이를 기업의 투자로 볼 지, 비용으로 볼 지도 의문"이라며 "지금 현재로 가능할 것 같지 않지만 의무 공시 형태로 발전될 필요가 있을 것"이라고 말했다.
인센티브 확대의 일환으로 ISMS 인증 혜택이 보강돼야 한다는 목소리도 나왔다.
최용혁 아림디엠 대표는 "3년 전 ISMS 인증을 받았지만 이후 혜택이나 우대를 받은 건 없다"면서 "기업들을 적극적으로 유도하기 위해선 정보보호 투자 우수기업에 대한 확실한 별도의 우대조치가 있어야 한다"고 말했다.
이어 "예를 들어 인증을 받은 기업만 조달청 입찰에 참가할 수 있도록 한다면 기업들이 적극 투자할 것"이라며 "기업들이 실질적 이익을 보고 지속 투자할 수 있는 대안이 나와야 한다"고 덧붙였다.
더존비즈온 황재승 차장도 "ISMS 인증 투자에 대한 경제적 효과 산출이 필요하다"며 "인증 취득의 정량적 성과를 제시할 수 있다면 투자하도록 (경영진을) 설득할 수 있을 것"이라고 말했다.
공시제도의 적정성에 대한 문제도 제기됐다. 최 교수는 "(정보보호 투자, 인력 등) 투입 변수 중심의 공시는 향후 정보보호 사고가 일어났을 때 면죄부로 악용될 수 있는 가능성이 있다"며 "정보보호 성과 등 결과 변수를 개발해 공시에 넣어야 한다"고 조언했다.
미래부 정보보호기획과 송창종 사무관은 "정보보호 체계나 프로세스를 직접 공시하는 게 아니라 인력, (투자)금액 등에 대한 포괄적 표시이기 때문에 취지에 비하면 위험성은 상대적으로 낮다고 본다"고 말했다.
미래부 허성욱 정보보호기획과장은 "2주 가량 추가적으로 의견을 받아 최대한 반영하겠다"며 "현장에서 실효성 있는 제도가 되도록 노력할 것"이라고 전했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기