6월 30일까지 공시 이행하지 않으면 과태료 300만원...3차(년)까지 안하면 최대 1,000만원
[보안뉴스 원병철 기자] 정보보호 공시제도 의무화로 오는 6월 30일까지 반드시 정보보호 공시를 해야 하는 기업은 총 602개이지만, 본지 확인 결과 KISA 정보보호 공시 종합 포털에 등록된 기업은 281개(23일 17시 30분 기준)에 불과해 아직 300곳이 넘는 기업이 공시제도에 참여하지 않은 것으로 확인됐다.
▲6월 23일 17시 30분 현재 281개 기업이 정보보호 공시를 이행했다[캡처=보안뉴스]
정보보호 공시제도는 서비스 이용자의 안전한 인터넷 사용과 기업 정보보호 투자 활성화를 위해 기업 정보보호 투자, 인력, 활동 등에 관한 정보를 공개하는 제도다. 자율 공시였지만 사이버 침해사고가 매년 증가하고 있고, 랜섬웨어 등 기업을 노린 사이버공격이 증가하면서, 기업의 정보보호 투자 활성화를 통해 정보보호 수준을 높일 필요성이 커짐에 따라 일부 기업에 공시 의무를 부과하게 됐다.
정보보호산업법 제8조제2항이 추가되면서 정보보호 공시 의무 부과 대상 범위와 기준이 신설됐다. 매출·정보보호 중요도 등에 따라 차이는 있지만, ISMS 인증 의무대상과 비슷한 기준이다. △이동통신사 등 인터넷 서비스 제공자(서울시 및 모든 광역시에 정보통신망 서비스를 제공하는 자) △데이터센터(정보통신망법 제46조에 따른 집적정보통신시설 사업자) △병원(의료법 제3조의4에 따른 상급종합병원) △클라우드 사업자(클라우드컴퓨팅법 제2조제3호에 따른 사업자 및 서비스 제공자) 등 상대적으로 정보보호 필요성이 큰 기업이 의무공시 대상이다.
한국인터넷진흥원에 따르면 의무대상 기업 후보는 최초 622개 기업이었는데, 이후 기업들의 이의신청을 받아 4월 15일자로 602개 기업으로 줄어들었다. 하지만 정보보호 공시 종합 포털(ISDS)에 등록된 공시업체가 23일 기준 281개인 것을 보면 아직 절반도 안되는 기업만이 공시를 진행한 상황이다. 이와 관련 KISA는 마지막 주에 공시하는 기업들이 몰릴 것으로 예측했다. 실제로 기사를 쓰는 순간에도 약 9개의 기업이 추가로 공시했다. 아울러 의무공시 기업이 아닌 기업이 공시를 하는 경우도 있다.
그렇다면, 의무대상 기업이 6월 30일까지 정보보호 공시를 하지 않으면 어떻게 될까? 아직까지 별도의 제도 유예 안내가 없기 때문에 ‘정보보호산업의 진흥에 관한 법률’에 따른 의무공시 기업이 6월 30일까지 공시하지 않으면 과태료를 부과 받는다. 관련법 시행령 별표2에 따르면 미공시 기업은 1차 위반에 300만원, 2차 위반에 600만원, 3차 위반에 1,000만원의 과태료가 부과된다. 또한, 관련 서류를 제출하지 않거나 거짓으로 제출하는 경우에도 같은 수준의 과태료가 부과된다. 다만 개별기준에 따른 과태료 금액의 1/2 범위에서 금액을 줄일 수도 있다.
실제로 과기정통부와 KISA는 정보보호 공시 내용의 투명성과 신뢰성 확보를 위해 공시 이행 기업의 주요 공시내용의 정확성을 검증할 수 있다. 사전 검증은 기업이 정확하고 쉽게 정보보호 현황을 산출하도록 행정지도하기 위함이며, 별도의 비용은 없다. 다만, 컨설팅, 회계법인, 정보시스템 감리기업으로부터 사전 점검을 받고 확인서를 제출한 기업은 제외된다.
아울러 KISA는 전문가들로 구성된 ‘공시 점검단’을 구성해 사후 검증을 실시할 수 있으며, 결과를 바탕으로 허위 공시일 경우 별도의 시정조치를 요구할 수 있다. 시정조치에 응하지 않으면 공시 혜택은 취소된다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 정보보호 공시제도 의무화로 오는 6월 30일까지 반드시 정보보호 공시를 해야 하는 기업은 총 602개이지만, 본지 확인 결과 KISA 정보보호 공시 종합 포털에 등록된 기업은 281개(23일 17시 30분 기준)에 불과해 아직 300곳이 넘는 기업이 공시제도에 참여하지 않은 것으로 확인됐다.
▲6월 23일 17시 30분 현재 281개 기업이 정보보호 공시를 이행했다[캡처=보안뉴스]
정보보호 공시제도는 서비스 이용자의 안전한 인터넷 사용과 기업 정보보호 투자 활성화를 위해 기업 정보보호 투자, 인력, 활동 등에 관한 정보를 공개하는 제도다. 자율 공시였지만 사이버 침해사고가 매년 증가하고 있고, 랜섬웨어 등 기업을 노린 사이버공격이 증가하면서, 기업의 정보보호 투자 활성화를 통해 정보보호 수준을 높일 필요성이 커짐에 따라 일부 기업에 공시 의무를 부과하게 됐다.
정보보호산업법 제8조제2항이 추가되면서 정보보호 공시 의무 부과 대상 범위와 기준이 신설됐다. 매출·정보보호 중요도 등에 따라 차이는 있지만, ISMS 인증 의무대상과 비슷한 기준이다. △이동통신사 등 인터넷 서비스 제공자(서울시 및 모든 광역시에 정보통신망 서비스를 제공하는 자) △데이터센터(정보통신망법 제46조에 따른 집적정보통신시설 사업자) △병원(의료법 제3조의4에 따른 상급종합병원) △클라우드 사업자(클라우드컴퓨팅법 제2조제3호에 따른 사업자 및 서비스 제공자) 등 상대적으로 정보보호 필요성이 큰 기업이 의무공시 대상이다.
한국인터넷진흥원에 따르면 의무대상 기업 후보는 최초 622개 기업이었는데, 이후 기업들의 이의신청을 받아 4월 15일자로 602개 기업으로 줄어들었다. 하지만 정보보호 공시 종합 포털(ISDS)에 등록된 공시업체가 23일 기준 281개인 것을 보면 아직 절반도 안되는 기업만이 공시를 진행한 상황이다. 이와 관련 KISA는 마지막 주에 공시하는 기업들이 몰릴 것으로 예측했다. 실제로 기사를 쓰는 순간에도 약 9개의 기업이 추가로 공시했다. 아울러 의무공시 기업이 아닌 기업이 공시를 하는 경우도 있다.
그렇다면, 의무대상 기업이 6월 30일까지 정보보호 공시를 하지 않으면 어떻게 될까? 아직까지 별도의 제도 유예 안내가 없기 때문에 ‘정보보호산업의 진흥에 관한 법률’에 따른 의무공시 기업이 6월 30일까지 공시하지 않으면 과태료를 부과 받는다. 관련법 시행령 별표2에 따르면 미공시 기업은 1차 위반에 300만원, 2차 위반에 600만원, 3차 위반에 1,000만원의 과태료가 부과된다. 또한, 관련 서류를 제출하지 않거나 거짓으로 제출하는 경우에도 같은 수준의 과태료가 부과된다. 다만 개별기준에 따른 과태료 금액의 1/2 범위에서 금액을 줄일 수도 있다.
실제로 과기정통부와 KISA는 정보보호 공시 내용의 투명성과 신뢰성 확보를 위해 공시 이행 기업의 주요 공시내용의 정확성을 검증할 수 있다. 사전 검증은 기업이 정확하고 쉽게 정보보호 현황을 산출하도록 행정지도하기 위함이며, 별도의 비용은 없다. 다만, 컨설팅, 회계법인, 정보시스템 감리기업으로부터 사전 점검을 받고 확인서를 제출한 기업은 제외된다.
아울러 KISA는 전문가들로 구성된 ‘공시 점검단’을 구성해 사후 검증을 실시할 수 있으며, 결과를 바탕으로 허위 공시일 경우 별도의 시정조치를 요구할 수 있다. 시정조치에 응하지 않으면 공시 혜택은 취소된다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
