195. 정보보호 공시 제도 (Information Security Disclosure)

핵심 인사이트

본질: 정보보호 공시 제도는 기업의 정보보호 투자·인력·인증 현황을 공개하도록 의무화하여 시장 투명성을 높이고 이해관계자가 기업의 보안 수준을 객관적으로 평가할 수 있게 하는 제도다.

가치: 공시 의무 기업은 ISMS (Information Security Management System, 정보보호 관리체계) 인증 취득을 유인하는 구조로 연계되어, 정보보호 산업 전반의 수준 향상을 촉진한다.

판단 포인트: 기술사 답안에서는 "의무 공시 vs 자율 공시 대상 기준 → 공시 항목(투자액·인력·인증·활동) → 정보보호산업법 법적 근거 → ISMS-P 인증과의 연계 시너지"를 논해야 한다.

Ⅰ. 개요 및 필요성

정보보호 공시 제도는 「정보보호산업의 진흥에 관한 법률」(정보보호산업법) 제13조에 근거하여 2016년 도입되었다. 기업이 사이버보안 투자와 역량을 자발적으로 시장에 알리도록 장려하고, 일정 규모 이상의 기업에는 의무적으로 공시하도록 규정한다.

기업의 정보보호 수준은 대외적으로 보이지 않기 때문에 소비자·투자자·거래처가 거래 전 평가하기 어렵다. 이른바 '레몬 시장(Lemon Market)' 문제가 발생하여, 낮은 보안 수준 기업이 높은 수준 기업과 동일 조건으로 경쟁하는 정보 비대칭이 생긴다. 공시 제도는 이 정보 비대칭을 해소하여 보안 우수 기업이 시장에서 정당한 평가를 받도록 한다.

과학기술정보통신부가 제도를 운영하고 KISA가 공시 포털(www.isds.kr)을 통해 공시 내용을 일반에 공개한다. 투자자와 소비자는 공시 포털을 통해 기업별 정보보호 현황을 비교하고 거래 의사결정에 활용할 수 있다.

📢 섹션 요약 비유: 정보보호 공시는 상장 기업의 재무제표 공시와 같다 — 재무 건전성처럼 보안 건전성도 투자자와 고객에게 투명하게 공개해야 한다.

Ⅱ. 아키텍처 및 핵심 원리

공시 대상 및 공시 항목 체계

┌──────────────────────────────────────────────────────────────────┐
│                 정보보호 공시 제도 구조                            │
├──────────────────────────────────────────────────────────────────┤
│                                                                   │
│  의무 공시 대상                  자율 공시 대상                    │
│  ┌─────────────────────┐        ┌────────────────────────┐       │
│  │ ① ISP (인터넷서비스 │        │ 의무 대상 외 모든 기업  │       │
│  │    제공자) 일정 규모 │        │ (자발적 신청 가능)      │       │
│  │ ② 집적정보통신시설  │        └────────────────────────┘       │
│  │    사업자           │                                          │
│  │ ③ 상장법인 중 일정  │                                          │
│  │    매출/자산 기준   │                                          │
│  └─────────────────────┘                                          │
│                                                                   │
│  공시 항목 (4대 분야)                                             │
│  ┌──────────┬─────────────────────────────────────────────────┐  │
│  │ 투자 현황 │ 정보보호 예산 총액, IT 예산 대비 정보보호 비율  │  │
│  ├──────────┼─────────────────────────────────────────────────┤  │
│  │ 인력 현황 │ 정보보호 전담 인력 수, CISO 지정 여부           │  │
│  ├──────────┼─────────────────────────────────────────────────┤  │
│  │ 인증 현황 │ ISMS/ISMS-P 인증, ISO 27001, CC 인증 등        │  │
│  ├──────────┼─────────────────────────────────────────────────┤  │
│  │ 활동 현황 │ 보안 점검, 교육 훈련, 취약점 점검 활동 기록    │  │
│  └──────────┴─────────────────────────────────────────────────┘  │
└──────────────────────────────────────────────────────────────────┘

의무 공시 대상 기준 (2023년 기준)

유형	기준	공시 방법
ISP 사업자	정보통신망법상 전기통신사업자 일정 규모	정보보호 공시 포털(isds.kr)
집적정보통신시설	IDC (Internet Data Center) 운영 사업자	동일
상장법인	자산 5천억 원 이상 + 개인정보처리자	동일
의료기관	상급종합병원, 대형 병원	동일
금융기관	금융위 별도 기준 연계	동일

정보보호 투자 비율 권고 기준

과학기술정보통신부 권고 기준으로 IT 예산 대비 정보보호 예산 비율을 7% 이상 유지할 것을 권고하고 있다. 금융·통신 등 고위험 업종은 10% 이상이 관행적 기준이다. 공시 데이터 분석 결과, 정보보호 투자 비율이 높은 기업이 사이버 침해 피해액도 낮다는 상관관계가 보고된다.

📢 섹션 요약 비유: IT 예산의 7% 이상을 보안에 쓰는 것은 집 가격의 7%를 자물쇠·CCTV·보험에 쓰는 것처럼 — 적정 보안 투자는 손실 예방 보험이다.

Ⅲ. 비교 및 연결

구분	정보보호 공시	ISMS-P 인증
목적	외부 투명성 확보, 시장 평가	내부 관리체계 적합성 인증
의무/자율	대상 기업 의무 또는 자율	일부 의무 (ISP, IDC 등)
갱신 주기	매년 공시	3년 인증, 연 1회 사후심사
주관 기관	과학기술정보통신부 / KISA	KISA / 지정 인증기관
주요 산출물	공시 보고서 (isds.kr 게시)	ISMS-P 인증서
연계 효과	ISMS-P 인증 기업은 공시 항목에 인증 현황 포함	공시 의무 대상과 대부분 중복

CISO (Chief Information Security Officer) 의무 지정 규정 연계

정보통신망법 제45조의3에 따라 일정 규모 이상의 정보통신서비스 제공자는 CISO (최고정보보호책임자)를 의무 지정하고, 이를 과학기술정보통신부에 신고해야 한다. 공시 제도에서는 CISO 지정 여부와 전담 인력 현황을 공시 항목으로 포함한다. CISO의 자격 요건(정보보호 경력 등)도 법령으로 규정되어 있다.

📢 섹션 요약 비유: CISO 의무 지정은 대형 병원의 의료원장 의무 배치처럼 — 전문 책임자 없이 중요 기능을 운영하면 안 된다는 원칙이다.

Ⅳ. 실무 적용 및 기술사 판단

공시 준비 실무 절차
① 공시 대상 여부 확인: 매출·자산·서비스 유형 기준으로 의무 대상 여부를 확인한다.
② 공시 담당자 지정: CISO 또는 정보보호 담당자를 공시 책임자로 지정한다.
③ 데이터 수집: 정보보호 예산 집행 내역, 인력 현황, 보안 활동 기록을 체계적으로 수집한다. ERP/인사시스템 연동으로 자동화한다.
④ 공시 작성 및 제출: 매년 6월 말까지 isds.kr에 전년도 현황을 공시한다.
⑤ 내부 활용: 공시 데이터를 내부 보안 KPI (Key Performance Indicator) 관리에 활용하고, 전년 대비 개선 추이를 경영진에게 보고한다.

기술사 답안 포인트
단순히 제도 설명에 머물지 않고, "공시 데이터의 투자자 활용 → ESG (Environmental, Social, Governance) 경영과의 연계(S 영역의 사이버보안) → 공시 허위·과장 시 법적 제재"까지 연결하면 깊이 있는 답안이 된다.

📢 섹션 요약 비유: 정보보호 공시 준비는 세금 신고처럼 — 평소에 증빙(보안 활동 기록)을 잘 챙겨야 연말(공시 시즌)에 허둥지둥하지 않는다.

Ⅴ. 기대효과 및 결론

정보보호 공시 제도 시행 이후 국내 기업의 정보보호 예산 증가율이 비시행 기간 대비 높아졌으며, 대기업을 중심으로 CISO 전담 조직 구성이 확산되었다. 공시 포털 데이터를 활용한 산업별·기업 규모별 보안 수준 비교 연구도 활성화되고 있다.

미래 방향으로는 ESG 공시와의 통합(G 영역 거버넌스에 사이버보안 포함), 공급망 보안 공시 확대(1차 협력업체 정보보호 현황 포함), AI 도입 현황과 AI 보안 활동 공시 추가가 예상된다. 또한 공시 데이터의 표준화를 통해 국제 비교 가능성을 높이는 방향도 논의되고 있다.

📢 섹션 요약 비유: 정보보호 공시 제도는 기업의 보안 건강 검진 결과를 공개하는 것처럼 — 공개되는 순간 기업들이 스스로 건강 관리를 더 열심히 한다.

📌 관련 개념 맵

개념	설명	연관 키워드
정보보호산업법 §13	정보보호 공시 의무의 법적 근거	의무 공시, 자율 공시
CISO	최고정보보호책임자 — 공시 및 정보보안 책임	정보통신망법 §45조의3
ISMS-P	공시 인증 현황 항목에 포함되는 대표 인증	KISA, 인증 연계
정보보호 투자 비율	IT 예산 대비 정보보호 예산 비율 권고 (7% 이상)	KPI, 보안 ROI
isds.kr	정보보호 공시 포털 — KISA 운영	공시 제출, 현황 조회

👶 어린이를 위한 3줄 비유 설명

정보보호 공시는 가게가 '우리 가게 위생 점수는 A등급이에요!'라고 문 앞에 붙이는 것처럼, 회사가 얼마나 보안에 투자했는지 국민에게 알려주는 거예요.
이 정보를 보고 고객이나 투자자가 '아, 이 회사는 보안이 튼튼하구나'라고 판단할 수 있어요.
공시를 통해 보안에 투자를 안 하는 회사가 드러나기 때문에, 기업들이 스스로 보안에 더 많이 신경 쓰게 되어요.