[260406] [엔키화이트햇] 공시가 '보안 성적표'가 되는 시대: 2027 정보보호 공시 확대의 시사점과 대응

최근 해킹 사고는 제조.유통.금융.공공.교육.의료까지 업종을 가리지 않고 터지고 있음.

신뢰 하락(고객 이탈)+거래 중단+주가/평판 충격이 연쇄로 이어진다.

 

정부는 기업이 '우리는 보안을 잘하고 있다'고 말만 하는것이 아닌, 투자.인력.점검.인증과 같은 보안 활동을 '공식 양식'으로 공개하도록 제도를 손봤다.

 

과학기술부는 1월 9일 [정보보호산업의 진흥에 관한 법률 시행령 일부개정령안]을 입법예고하고, 정보보호 공시 의무 대상 사업자 범위 확대 및 이용자 수 산정 기준을 변경한다고 밝힘.

 

정보보호공시란?

기업이 자신의 보안 상태를 국민에게 투명하게 공개하는 것

• 기업도 자신의 보안을 얼마나 잘 관리하고 있는지 보고서를 제출해야 함.
  • 보안 담당자는 있는지, 얼마나 보안에 투자하고 있는지, 어떤 보안 시스템을 갖추고 있는지 등이 포함됨.

이유: 우리가 사용하는 쇼핑몰, 게임, SNS 등의 서비스를 제공하는 기업들이 우리의 소중한 정보를 안전하게 지키고 있는지 화깅ㄴ하기 위함. 그리고 기업 입장에서도 보안에 더 신경 쓰게 만드는 효과가 있음.

이제는 보안을 공개하는 순간 '신뢰 경쟁'이 시작됨.

공시는 규제 체크가 아닌, 투자자/고객/거래처가 확인 가능한 '보안 성적표'가 된다.

 

핵심변화

1. 과거에는 매출액이 3000억 원이 넘는 큰 회사들만 정보보호 현황을 공개해야 했다.

하지만 이제는 매출액이 얼마인지 상관없이 코스피나 코스닥에 상장된 모든 회사가 공객해야 한다.

주식시장에 올라와 있다면 모두 해당된다.

 

2. 정보보호관리체계(ISMS) 인증을 받아야 하는 회사들도 포함되었음. ISMS는 마치 음식점이 위생 등급을 받는 것처럼, 기업도 보안 수준을 검증받는 제도.

이 인증을 의무적으로 받아야 하는 회사들도 이제 정보보호 현황을 공개해야 한다.

 

3. 예외 규정이 모두 사라짐. 모두가 똑같은 기준으로 평가받게 됨

제도를 더 공정하게 만들기 위한 조치!

 

[기존제도]

대상 기준이 '매출(상장사)+이용자수+특정 업종' 중심

공공/금융/소기업은 예외

 

[개정안(2027년 시행 예정)]

상장사는 '매출 기준'이 사라지고 '전 상장사'로 확대

ISMS '인증 의무 기업'이 신규로 들어옴

공공/금융/소기업 예외 규정이 삭제됨(=조건 충족하면 포함)

 

[이렇게 바꾸는 이유]

최근 해킹 사고를 분석해보니 회사 규모 또는 업종과 상관없이 어디서나 일어나고 있었기 때문이다.

2025년에 발생한 피해 사례들을 보면 중소기업 또는 중견기업에서도 상당히 많은 사고가 있었음

그래서 정부는 상장 여부, 이용자 수, ISMS 인증 여부처럼 객관적으로 확인할 수 있는 기준을 중심으로 제도를 다시 설계함.

 

 

[체크리스트]

아래 중 하나라도 해당되면, 2027년부터 공시 의무 대상이 될 가능성이 크다.

 

1. 코스피/코스닥 상장사인가?

개정안에서는 매출 상관없이 전 상장사 대상

 

2. 이용자 수가 100만 이상인가?

개정안은 산정 기준이 '연평균'으로 변화

 

3. ISMS '인증 의무 기업' 인가?

개정안에서 신규 포함(대학/종합병원/매출 100억원 이상 등 사례 제시)

 

기업들이 많이 묻는 질문

Q1. 보안 투자/인력 채용이 의무인가요?

이번 개정은 새 장비를 구매해라, 인력을 채용해라를 강제하는 제도 가아닌,

기업이나 기관이 이미 하고 있는 정보보호 투자.활동 현황을 공개하는 정보공개형 제도임.

물론 기존에 보안 투자와 수준이 미비했던 기업은 솔루션 구입과 인력 채용이 필요할 수도 있음

 

Q2. 기업 부담은 무엇이 늘어나나요?

정보보호 공시를 위한 행정.관리 부담이 늘어남.

기업과 기관 내의 정보보호 거버넌스와 관련 자료 취합.

공시 항목 정리.

시스템 입력/제출은 늘어나는 업무임.

 

Q3. 언제부터 적용?

시행령 개정 절차 완료 후 2027년부터 시행 예정

 

Q4. 어디에, 어떤 방식으로 공시하나요?

정보보호공시는 '정보보호 공시 종합포털'에서 정해진 양식에 따라 투자/인력/인증/평가.점검/활동 등을 제출함.

이 제도는 정보보호 공시 종합포털에 매년 6월 30일까지 제출하는 방식이다.

 

Q5. 정보보호 공시 관련 지원책?

정부는 공시 경험이 없는 중.소기업을 위해 가이드라인, 교육, 컨설팅 지원을 병행하겠다고 밝혔음.

먼저 공시를 어떻게 작성해야 하는지 자세히 알려주는 가이드라인을 배포함.

그리고 공시를 하기 전에 미리 점검해주는 컨설팅 서비스도 제공.

실무 담당자들을 위한 맞춤형 교육 프로그램도 운영.

 

시사점과 대응 방안: 의무 공시를 '신뢰 경쟁력'으로

핵심 시사점은 정보보호가 '내부 운영 이슈'에서 '대외 신뢰 지표'로 넘어왔다는 것.

상장사 전체로 확대되고, ISMS 의무 기업까지 포함되며, 공공.금융.소기업 예외가 삭제되면 이제 보안은 투자자.고객.거래처가 객관적으로 비교할 수 있는 공개 정보가 된다.

 

공시는 내부 보안 운영 체계의 성숙도를 밖으로 드러낸ㄴ 창이기 때문에, 준비를 잘하면 규제 대응을 넘어 거래처 신뢰.확보.투자자커뮤니케이션.브랜드 경쟁력으로 연결됨.

 

앞으로는 사고가 나지 않았다는 주장보다 '얼마나 체계적으로 관리하고 있는지'가 기업 가치 평가의 기준이 됨.

취약점 정기 점검, 위험관리 프로세스, 교육.훈련, 사고 대응 체계 같은 지속 운영 활동이 공시에서 설득 포인트가 됨.