[비즈한국] 최근 기업들의 사이버 보안 관련 사고가 이어지며 기업들의 개인정보 보호에 대한 관심이 높아지고 있다. 이에 한국인터넷진흥원(KISA)은 정보보호 공시 포털을 통해 기업들의 정보 보호 인력과 투자 현황 등을 공개하고 있다.
하지만 의무적으로 정보보호 공시를 해야 되는 기업의 기준이 높아 제도 개선의 필요성이 지적되고 있다. 이에 정부는 정보보호 공시 제도 개선에 대한 논의에 들어갔다.

#정보보호 공시 포털 의무 기준 너무 높아
2025년 4월 SKT의 유심 정보 유출 사고가 있었고, 6월에는 예스24에서 랜섬웨어 사고가 발생했다. 또한 상반기에만 럭셔리 브랜드인 디올과 티파니, 까르띠에와 명품 플랫폼인 머스트잇, 알바 구인 플랫폼인 알바몬, 피자 브랜드인 한국파파존스 등에서 개인정보 유출 등 사고가 일어났다.

이에 기업들의 고객 개인정보 관리에 대한 비판이 커졌다. 또한 각 기업의 고객 개인정보 보호를 위한 조치 현황이나 투자 규모, 인력, 임원 현황 등이 어떻게 되는지에 대한 관심 또한 높아졌다.
이 현황은 보통 KISA의 정보보호 공시 포털에서 검색할 수 있지만, 정작 의무 공시 대상 기업의 기준선이 높아 공개 대상 기업이 적다는 점이 지적받고 있다.
KISA는 정보보호산업의 진흥에 관한 법률(이하 정보보호산업법) 등의 규정에 따라 기업 등이 정보보호 관련 정보를 공시하게 하고 있다. 대상 정보는 정보보호 투자 현황과 인력 현황, 정보보호 관련 인증과 평가, 점검활동 등이며 기업들은 이를 매년 6월 30일까지 제출해야 한다.
규정에 따라 SKT의 경우엔 2025년 기준 정보보호 부문 투자액으로 652억 원을, 전담인력은 219.2명을 신고 공시했다. 예스24의 경우는 2025년 정보보호 투자액으로 16억 원을, 전담인력은 10.1명을 공시했다.
하지만 정작 정보 유출 사고가 있었던 디올코리아, 티파니코리아, 까르띠에의 한국법인인 리치몬트코리아, 한국파파존스, 알바몬, 머스트잇 등은 해당 포털에서 정보를 검색할 수 없다. 그 이유는 이들 기업이 정보보호 관련 정보의 공시 의무 기업이 아니기 때문이다.
#외국기업 한국 법인, 중소기업은 의무 아냐
이는 법률과 관련 규정을 찾아보면 알 수 있다. 현행 법령상 정보보호 공시 제도는 시행령으로 규정한 의무 공개 대상 기업이 아니라면 공시 여부를 기업 자율에 맡겨두고 있다.
정보보호산업법 제13조는 기업 등이 정보보호 현황을 공개할 수 있다고 규정하고 있다. 그리고 이용자의 안전 이용을 위해 사업 분야와 매출액, 서비스 이용자를 고려해 시행령에 규정된 기업은 현황을 공시하도록 의무 규정으로 강제한다.
이 법 시행령 제8조 제1항에선 법 13조 2항에 규정된 의무 공개 대상 기업을 구체적으로 제시하고 있다. 기간 통신사 및 네이버나 카카오 등 포털 사이트를 운영하는 대규모 데이터 기업, 상급 종합병원, 클라우드컴퓨팅 서비스 제공 기업 등이 해당된다.
또한 유가증권 및 코스닥 상장 법인 중엔 매출액 3000억 원 이상 기업을 의무 공시 대상으로 규정하며, 해당 기업의 서비스 이용자가 100만 명이 넘는 경우에도 공개를 의무화하고 있다.
바꿔 말하면 대규모의 데이터를 처리하는 통신업체나 매출이 3000억을 넘는 거대 상장 기업, 100만 명이 넘는 이용자가 있는 기업이 아니라면 정보보호 공시 의무가 없다는 것이다.
실제로 앞서의 개인정보 유출 사건이 일어난 기업들은 2025년 KISA가 공개한 671개 사에 달하는 정보보호 공시 의무 대상 기업 목록에서 그 이름을 찾을 수 없었다.
예를 들어 한국파파존스는 2024년 717억 원의 매출을 올렸지만, 상장 법인이 아니고 매출액도 3000억 원 이하이므로 공시 대상이 아니다. 한국에서 디올을 운영하는 크리스챤디올꾸뛰르코리아 역시 2024년 9453억 원의 매출을 올렸지만, 한국 상장 법인이 아니므로 공시 대상에 들어있지 않다.
#상당수 개인정보 유출 사고는 중소기업에서 발생
현행 제도로는 국내에 상장되지 않은 외국계 기업들과 중소기업, 그리고 이용자 수가 100만에 미달하는 온라인 플랫폼의 정보보호 정보는 확인하기 어려운 셈이다. 상당수의 개인정보 유출 사고 등이 민간 기업, 그 중 특히 중소기업에 집중되고 있는 점에서 제도 개선의 필요성이 제기되는 이유다.

실제 통계가 이를 뒷받침한다. 개인정보보호위원회가 2025년 3월 발표한 2024년 개인정보 유출 신고 동향 분석결과에 따르면, 2024년 신고된 개인정보 유출 사고 중 과반이 넘는 신고가 중소기업에서 이루어졌다.
분석에 의하면 307건의 신고 중 민간 기업의 신고 건수는 66%였고, 그 중 중소기업에서 발생한 사고는 60%나 됐다. 업종 또한 정보통신 및 소프트웨어와 전자상거래를 합쳐 34%에 달했다. 유출 원인 역시 정보보호 분야의 투자와 관리가 요구되는 해킹이 67%를 차지했다.
정부는 이에 제도 개선을 추진하고 있다. 이재명 대통령은 대선 후보 당시 사이버 위협에 대응하기 위해 “정보보호 투자 및 전담 인력 규모 등을 투명하게 공개하는 정보보호 공시제도 강화”를 대선 공약에 담았다.
또한 새 정부 출범 이후 과학기술정보통신부는 인수위 격인 국정기획위원회에 정보보호제도 개선 관련 안건을 보고했다고 알려졌다. 개선안에는 정보보호 공시제도 의무 대상을 현재의 매출액 3000억 원 이상의 상장 기업에서 전 상장 기업으로 확대하도록 하는 내용 등이 담겼다.
다만 실질적인 유출 사고가 집중되는 비상장 중소기업이나 외국계 기업, 이용자 수가 100만 명 이하인 중소형 온라인 플랫폼에 대한 공시 의무화 여부 등은 현재 국정기획위원회가 국정과제 초안 마련 및 세분화 단계에 있어 차후 논의를 지켜봐야 할 것으로 보인다.
이동영 인턴기자
writer@bizhankook.com[핫클릭]
·
스타벅스와 저가커피 사이 그 어디…팀홀튼 대형 매장 공격적 출점 성공할까
·
[단독] 셀트리온, 장질환 관리 서비스 앱 '과장님케어' 3년 만에 서비스 종료
·
[단독] '원소주' 인기 식으니…DJ펌킨 등 박재범 제외 이사진 전원 사임
·
[단독] '일진그룹 2세' 허재명 전 일진머티리얼즈 사장, 개인 투자사 임원 사임
·
[단독] 자급제 폰이라더니 통신사 폰…쿠팡서 터진 '위장 판매' 논란