잇따른 대규모 해킹 사태로 '디지털 리스크'가 기업 가치를 위협하는 핵심 요인으로 떠오르자, 정부가 정보보호 공시 의무 대상을 상장사 전체로 확대하는 초강수를 뒀다. 하지만 현행 제도조차 유명무실하다는 지적 속에서 "보안 사업이 크게 육성될 기회"라는 반응과 "보안 취약점을 노출하게 될 것"이라는 반응이 함께 나오고 있다.

27일 <메트로경제 신문> 취재 결과 지난 22일 정부가 '범부처 정보보호 종합대책'을 발표한 후 IT 업계 관계자들의 반응이 상반되게 나뉘고 있다.

현재 정보보호 공시 제도는 심각한 허점을 드러내고 있다. 이상휘 국민의힘 국회의원이 KISA로부터 제출받은 자료에 따르면, 올해 공시 의무 대상 기업 666곳 중 23.7%인 158곳의 정보보호 인력이 '0명'이었다. 26곳은 정보보호책임자(CISO)조차 지정하지 않았다. 일부 기업은 CISO의 높은 연봉 대신 연 1000만 원의 과태료를 택하는 '도덕적 해이'까지 보인다는 지적이다.

정부는 이런 상황을 타개하기 위해 '범부처 정보보호 종합대책'을 발표했다. 핵심은 공시 의무 대상을 현행 666개사에서 약 2700여 개 상장사 전체로 확대하고, 공시 결과를 토대로 보안 역량을 등급화해 공개하는 것이다. 이와 함께 CEO의 보안 책임 원칙 명문화, 징벌적 과징금 도입 등 제재 수위도 대폭 높였다.

여기에서 업계의 갑론을박이 이어지는 부분은 정보보호 공시제도다. 해당 제도는 기업의 보안 현황이 재무 상태에 미칠 수 있는 잠재적 위험을 주주들에게 알리는 제도다. 공시 대상 기업들은 정보보호 분야 투자액과 인력 현황, CISO(정보보호최고책임자)·CPO(개인정보보호책임자) 지정 여부, 관련 인증 및 점검 사항, 그 외 정보보호 활동 내역 등을 공개해야 한다.

현재 공시 의무는 코스피·코스닥 상장사 중에서도 특정 조건을 만족하는 기업들에만 적용돼 있다. 회선 설비를 보유한 기간통신사업자나 집적정보통신시설 사업자 등이면서 매출액 3000억 원 이상, 동시에 정보통신 서비스 일 평균 이용자가 100만 명이 넘는 기업 등이다.

국내 보안 업계는 이번 대책이 시장 활성화의 기폭제가 될 것이라며 환영하는 분위기다. 의무 대상이 상장사 전체로 확대되면 당장 보안 인력 채용과 솔루션 도입, 컨설팅 수요가 급증할 수밖에 없기 때문이다. 그동안 보안 투자를 비용으로만 간주하며 미뤄왔던 기업들도 공시와 등급화라는 압박 속에서 지갑을 열게 될 것이란 기대다.

한 보안 업계 관계자는 "새로운 시장이 열리는 셈"이라며 "국내 보안 산업 전반의 규모가 커지고 관련 기술 투자가 활성화되는 계기가 될 것"이라고 긍정적으로 평가했다.

동시에 공시 의무가 곧 상대적으로 보안 등급이 낮은 기업들을 향한 해커들의 집중포화를 부를 수 있을 것이라는 우려의 목소리도 있다. 정부가 요구하는 '세부 공시 항목'이 취약점을 드러내는 창구가 될 것이라는 주장이다. 단순 투자총액을 공개하는 게 아니라 세부 사용 항목을 공개할 경우 어쩔 수 없이 취약점이 노출 될 수밖에 없다는 것.

앞서 의무화 한 ESG 공시 의무 제도와 연결 짓는 업계의 목소리도 있다. 2023년 ESG 공시 법제화가 예고된 후 의무 대상 기업들의 ESG 활동이 활발해졌던 전례를 볼 때 정보보호 공시제도 의무화 이후 관련 움직임은 필연적일 것이라는 기대다.

하지만 ESG 공시를 위한 '보여주기식' 활동이 늘면서, 실제 환경 보호 효과가 없거나 오히려 부정적 영향을 미치는 사례들이 '친환경'으로 포장되는 '그린워싱'이 사회적 문제로 떠올랐다. 이런 전례를 감안할 때, 정보보호 공시 제도 역시 형식적인 실적 경쟁으로 흐를 수 있다는 우려가 나온다.