"2025년도 정보보호 공시, 똑바로 했나?"…정부, 사후검증 실시

다음은 대한민국 정부 부처 보도자료 "2025년도 정보보호 공시, 똑바로 했나?"…정부, 사후검증 실시"를 바탕으로 작성된 상세하고 포괄적인 요약입니다.

1. 핵심 요약

과학기술정보통신부와 한국인터넷진흥원은 2025년 8월부터 11월 말까지 약 3개월간 '25년 정보보호 공시 사후 검증을 실시합니다. 이는 올해 공시한 총 773개 기업 중 국민 생활과 밀접한 서비스를 제공하는 40개 기업을 대상으로, 기업의 정보보호 투자 및 인력 등 공시 내용의 신뢰도를 높이고 투명성을 확보하기 위함입니다. 검증 결과 중대한 오류가 발견될 경우 해당 기업에 수정 요청이 이루어지며, 이를 거부하거나 이행하지 않을 시 최대 1천만 원 이하의 과태료가 부과될 수 있습니다. 정부는 이번 검증을 통해 기업의 정보보호 투자 확대를 유도하고 국민의 안전한 인터넷 사용 환경을 조성하는 것을 목표로 합니다.

2. 주요 내용

• 검증 주체 및 기간: 과학기술정보통신부(MSIT)와 한국인터넷진흥원(KISA)이 공동으로 주관하며, 2025년 8월부터 11월 말까지 약 3개월간 '25년 정보보호 공시 사후 검증을 실시합니다. 이는 기업이 공개한 정보보호 현황의 정확성을 확인하고 제도의 신뢰도를 높이는 데 중점을 둡니다.

• 검증 대상 및 규모: 이번 검증은 2025년에 정보보호 현황을 공시한 총 773개 기업(의무 공시 666개, 자율 공시 107개) 중 국민 생활과 밀접한 서비스를 제공하는 40개 기업을 대상으로 합니다. 이 40개 기업은 일일 평균 이용자 수 100만 명 이상인 26개 기업과 기간통신사업자(주요 통신 서비스 제공 기업) 14개 기업으로 구성됩니다.

• 검증 항목 및 방법: 검증 대상 기업들이 2025년 6월 30일까지 공시한 2024년도 정보보호 투자액, 정보보호 전담 인력 현황 등 핵심 항목에 대해 직접 점검이 이루어집니다. 회계 및 감리(기업 활동의 적법성과 타당성을 검토하는 절차) 등 전문성을 갖춘 '공시 검증단'이 투입되어 공시 내용을 종합적으로 검토하고 실제 현황과 일치하는지 확인합니다.

• 검증 결과 심의 및 조치: '공시 검증단'의 검증 결과는 외부 전문가들로 구성된 '심의위원회'에서 최종적으로 심의됩니다. 심의 결과 공시 내용에 중대한 오류나 허위 사실이 있다고 판단될 경우, 해당 기업에 수정 공시를 요청하게 됩니다. 요청을 받은 기업은 수정 요청 내용과 그 사유를 한국인터넷진흥원의 전자공시체계(isds.kisa.or.kr)를 통해 정해진 기한 내에 제출해야 합니다.

• 위반 시 제재: 정보보호 공시 의무자 중 검증 대상으로 선정된 기업이 정당한 사유 없이 검증을 거부하거나 방해하는 행위를 할 경우, 또는 심의위원회의 수정 공시 요청을 이행하지 않을 경우에는 관련 법규에 따라 최대 1천만 원 이하의 과태료가 부과될 수 있습니다. 이는 제도의 실효성을 확보하고 기업의 성실한 참여를 유도하기 위한 조치입니다.

• 정보보호 공시 제도 개요: 정보보호 공시 제도는 2022년부터 시행되었으며, 사업 분야, 매출액, 서비스 이용자 수 등을 종합적으로 고려하여 일정 기준(예: 정보보호 최고책임자(CISO)를 지정하는 상장사 중 매출액 3천억 원 이상 기업)에 포함되는 기업에 의무화되었습니다. 이 제도는 기업의 정보보호 현황을 투명하게 공개하고 관리함으로써 이용자들이 안전하게 인터넷을 이용하고, 기업 스스로 정보보호 투자를 확대하도록 장려하는 것을 목적으로 합니다.

• 긴급 현장 점검 결과 (추가 정보): 최근 발생한 SKT 침해사고를 계기로, 정부는 KT, LGU+ 등 다른 주요 통신사와 네이버, 카카오, 쿠팡, 우아한형제들 등 주요 온라인 플랫폼 기업에 대해 긴급 현장 점검을 실시했습니다. 점검 결과, 해당 기업들에서는 특이사항이 발견되지 않았다고 밝혔습니다. 이는 이번 사후 검증과는 별개로, 사이버 보안 위협에 대한 정부의 지속적인 경각심과 대응 노력을 보여줍니다.

3. 배경 및 목적

최근 디지털 전환이 가속화되고 사이버 위협이 더욱 복잡하고 지능화됨에 따라, 기업의 정보보호 역량과 활동에 대한 사회 각계의 관심이 그 어느 때보다 높아지고 있습니다. 이러한 배경 속에서, 기업이 자사의 정보보호 현황을 투명하게 공개하도록 하는 '정보보호 공시 제도'는 2022년부터 일정 기준을 충족하는 기업에 의무화되어 시행되고 있습니다. 이 제도는 기업이 정보보호 투자액, 전담 인력, 정보보호 시스템 구축 현황 등을 공개함으로써, 이용자들이 자신이 사용하는 서비스의 보안 수준을 파악하고 기업이 자율적으로 정보보호 투자를 확대하도록 유도하는 중요한 역할을 해왔습니다.

이번 '25년 정보보호 공시 사후 검증의 주된 목적은 기업이 공시한 정보가 실제와 부합하는지 면밀히 확인하여 공시 제도의 신뢰도를 한층 더 높이는 데 있습니다. 단순히 정보를 공개하는 것을 넘어, 공개된 정보의 정확성과 진실성을 검증함으로써 제도의 실효성을 확보하고 사회적 신뢰를 구축하고자 합니다. 궁극적으로는 기업의 정보보호 투자 및 활동에 대한 투명한 정보를 국민들에게 제공하여 국민들이 더욱 안전하게 디지털 서비스를 이용할 수 있는 환경을 조성하고, 기업의 정보보호 투자 확대를 유도하여 국가 전체의 사이버 보안 수준을 향상시키는 데 기여하는 것을 목표로 합니다. 이는 기업의 자율적인 보안 강화 노력과 정부의 체계적인 관리 감독이 조화를 이루어 안전한 디지털 대한민국을 구현하는 데 필수적인 과정입니다.

4. 세부 추진 내용

이번 정보보호 공시 사후 검증은 과학기술정보통신부와 한국인터넷진흥원이 긴밀히 협력하여 2025년 8월부터 11월 말까지 약 3개월간 집중적으로 추진됩니다. 검증 대상은 2025년 6월 30일까지 기업이 공시한 2024년도 정보보호 투자 및 인력 현황 등의 항목입니다. 이는 기업이 전년도 실적을 바탕으로 올해 공시한 내용의 정확성을 확인하는 과정입니다.

구체적인 실행 계획으로는, 먼저 회계 및 감리(기업의 재무 상태나 운영이 규정에 맞게 이루어지는지 검토하는 활동) 분야의 전문성을 보유한 인력으로 구성된 '공시 검증단'이 운영됩니다. 이 검증단은 대상 기업의 공시 내용을 직접 방문하거나 자료를 요청하여 종합적으로 검토하고, 실제 정보보호 투자 및 인력 현황과 공시 내용이 일치하는지 면밀히 확인합니다. 검증단의 검토 결과는 다시 정보보호 분야의 외부 전문가들로 구성된 '심의위원회'에서 최종적으로 심의됩니다. 심의위원회는 검증 결과의 타당성을 검토하고, 공시 내용에 중대한 오류나 허위 사실이 있다고 판단될 경우 해당 기업에 명확한 근거와 함께 수정 공시를 요청하게 됩니다. 수정 요청을 받은 기업은 요청 내용과 관련 사유서를 한국인터넷진흥원이 운영하는 전자공시체계(isds.kisa.or.kr, 기업의 정보보호 공시 내용을 온라인으로 제출하고 관리하는 시스템)에 정해진 기한 내에 제출해야 합니다. 만약 검증 대상 기업이 정당한 사유 없이 검증을 거부하거나 방해하는 행위를 하거나, 심의위원회의 수정 공시 요청을 이행하지 않을 경우에는 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 최대 1천만 원 이하의 과태료가 부과될 수 있어, 제도의 강제성과 실효성을 확보할 방침입니다.

5. 기대 효과

이번 정보보호 공시 사후 검증을 통해 가장 크게 기대되는 효과는 기업의 정보보호 투자 및 활동에 대한 정보가 더욱 투명하고 정확하게 국민들에게 제공된다는 점입니다. 이는 국민들이 자신이 이용하는 서비스의 정보보호 수준을 명확히 인지하고, 보안 수준이 높은 서비스를 선택하는 데 중요한 판단 기준을 제공할 것입니다. 또한, 정부의 체계적인 검증과 미이행 시 과태료 부과라는 제재 가능성은 기업들로 하여금 정보보호 투자에 대한 책임감을 강화하고, 공시 내용의 정확성을 높이며, 궁극적으로는 자발적인 정보보호 투자를 확대하도록 강력하게 유도할 것입니다. 이러한 기업의 정보보호 역량 강화는 국가 전체의 사이버 보안 수준을 향상시키는 데 직접적으로 기여하며, 국민들이 더욱 안전하고 신뢰할 수 있는 디지털 환경 속에서 생활하고 경제 활동을 영위할 수 있도록 하는 기반을 마련할 것으로 기대됩니다. 수혜 대상은 대한민국 국민 전체와 정보보호 역량을 강화하는 기업들입니다.

6. 향후 계획

과학기술정보통신부는 이번 '25년 정보보호 공시 사후 검증을 시작으로, 앞으로 정보보호 공시 제도의 적용 대상을 점진적으로 확대하고 검증 강도를 더욱 강화해 나갈 계획입니다. 이는 더 많은 기업이 정보보호 현황을 투명하게 공개하고 책임감을 갖도록 유도하며, 공시 제도의 실효성을 지속적으로 높이기 위함입니다. 또한, 정부는 급변하는 사이버 위협 환경에 선제적으로 대응하고 기업들이 자발적으로 정보보호 투자를 확대할 수 있도록 다양한 정책적 지원 방안을 모색하고 제도 개선을 병행할 예정입니다. 이를 통해 기업의 정보보호 역량을 지속적으로 강화하고, 국민들이 안심하고 디지털 서비스를 이용할 수 있는 안전한 사이버 환경을 구축하는 데 최선을 다할 것입니다.