기업은 정보보호 현황을 공개하여 이용자에게 기업 선택의 기준을 제시해야 합니다.
디지털 전환이 가속화되면서 사이버 침해 사고가 늘어나 기업의 경제적 손실과 신뢰도 하락, 이용자 불편이 커지고 있습니다. 정보보호의 중요성은 높아졌지만, 기업의 보안 수준은 핵심 정보임에도 투명하게 공개되지 않아 이해 관계자들은 제한된 정보로 의사결정을 내려야 했습니다. 이러한 문제를 해결하기 위해 도입된 제도가 바로 정보보호 공시 제도입니다. 최근 과기정통부는 2025년 말까지 정보보호산업의 진흥에 관한 법률 시행령’ 개정을 마치고 공시 의무 대상을 전체 상장사 약 2,700개사로 확대할 계획이라고 발표했는데요. 더 많은 기업의 보안 관련 정보가 공개되면, 시장 전체에서 보안 수준을 객관적으로 비교할 수 있는 환경이 만들어집니다. 이런 변화 속에서 기업들은 정보보호 공시를 단순한 의무가 아닌 신뢰를 보여주는 기회를 삼을 수 있습니다. 오늘은 정보보호 공시 제도의 개념부터 의무 대상, 진행 절차, 혜택까지 함께 알아보겠습니다!
정보보호 공시 제도란?
정보보호 공시 제도는 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관하는 제도로, 기업이 매년 자사의 정보보호 수준을 대중에게 공개하도록 의무화한 제도입니다. 공시를 통해 기업은 정보보호 조직 구성, 예산 투입, 보안인증 보유 현황, 보안 사고 대응 체계 등을 투명하게 공개해야 합니다. 공시 내용은 KISA 정보보호 공시 포털을 통해 공개되며, 매년 6월 30일까지 정보보호 현황을 제출해야합니다.
정보보호 공시제도는 이용자 보호 및 알권리를 보장하고 기업의 자발적인 정보보호 투자를 촉진하기 위한 목적을 갖고 있습니다. 이용자는 기업이 보유하고 있는 다양한 정보의 보호 수준을 간접적으로 파악하여 제품과 서비스를 보다 신중하게 선택할 수 있습니다. 기업은 기업 스스로 정보보호 수준을 객관적으로 파악하고, 이용자 등에게 정보보호 활동을 공시함으로써 법적 근거를 갖고 기업의 보안 투자 정도를 외부에 알릴 수 있는 기회로 활용할 수 있습니다.
정보보호 공시 제도 의무 대상 기준이 무엇인가요?
정보보호 공시 제도의 의무 대상자는 사업분야, 매출액, 이용자 수 기준 어느 하나에 해당하는 기업입니다. 의무 공시 기업은 반드시 정보보호 공시를 해야하며, 이를 위반할 경우 1천만원 이하의 과태료가 부과됩니다.
사업분야 : 회선설비 보유 기간통신사업자, 집적정보통신시설 사업자, 상급종합병원, 클라우드컴퓨팅 서비스 제공자
매출액 : 정보보호 최고 책임자(CISO)를 지정하고 신고하여야 하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상에 해당
이용자수 : 정보통신 서비스 일일 평균 이용자수가 전년도 말 직전 3개월간 100만명 이상
하지만, 공기업 및 준정부기관에 해당하는 공공기관, 평균 매출액 120억 원 이하 소기업(업종별 매출액 기준 상이(10~120억원, 정보통신업은 50억원 이하), 은행·보험·카드 등 금융회사, 정보통신업 또는 도·소매업을 주된 사업으로 하지 않는 전자금융업자는 정보보호 공시 의무 대상자에서 예외됩니다.
정보보호 공시제도는 자율 공시도 가능합니다. 정보통신망을 통해 정보를 제공하거나 정보 제공을 매개하는 사업자라면 자율적으로 공시에 참여할 수 있습니다.
※ 정보통신 서비스(유·무선통신 서비스, 방송 서비스 등), 쇼핑몰, 포털, 인터넷 뱅킹 등 인터넷을 통하여 사업 활동을 하는 영리·비영리 업체 모두 포함.
정보보호 공시 제도는 어떻게 진행할 수 있나요?
정보보호 공시는 크게 두 가지 방식으로 진행할 수 있습니다. 첫 번째는 기업이 별도의 사전 점검 없이 자체적으로 공시를 진행하는 방법이며, 두 번째는 사전점검 기간을 거쳐 공시하는 방법입니다. 공시를 원하는 기업은 정보보호 공시에 필요한 자료를 준비해 정보보호 공시 종합 포털(ISDS)에 업로드하면 됩니다.
여기서 사전점검이란, 회계법인 또는 정보시스템 감리법인이 정보보호 의무공시 또는 자율공시를 이행하는 기업을 대상으로 실시하는 절차로, 「정보보호산업의 진흥에 관한 법률」 제13조 제1항 및 제2항에 따라 공시가 적정하게 이루어질 수 있도록 지원하는 과정입니다. 이 사전점검을 통해 기업이 공개하려는 정보보호 현황이 공시 가이드라인을 충실히 준수해 작성되었는지 사전에 확인받을 수 있습니다.
사전점검 없이 자체 공시를 진행하는 경우에는 △정보보호 공시내용 양식 △검증 동의서 등 총 2종의 자료를 제출하면 됩니다. 사전점검을 거친 후 공시하는 경우, 제출해야 하는 자료는 △사전점검확인서(공시용) △사전점검확인서(조서) △정보보호 공시내용 양식 등 총 3종입니다.
정보보호 공시 제도의 주요 항목과 필요한 자료는 무엇인가요?
정보 보호 공시 제도의 주요 항목은 기업의 정보 보호 수준을 다각도로 평가하기 위한 세부 요소들로 구성되어 있습니다. 주요 항목과 필요한 자료는 아래와 같습니다.
(1) 정보보호 투자 현황(정보기술부문 투자액, 정보보호부문 투자액, 비중 등)
기초자료 항목에서는 감사보고서, 자산대장, 합계잔액시산표 등 기업의 재무 및 운영 현황을 기반으로 공시의 기초 데이터를 마련합니다. 투자 현황에서는 자산, 비용, 인건비를 중심으로 정보기술부문과 정보보호부문 각각의 투자 규모를 명확히 산출해야 하며, 이는 재무회계 및 급여 담당 부서의 협조가 필요합니다.
(2) 정보보호 인력 현황(정보기술부문 인력, 정보보호부문 전담인력, 비중 등)
인력 현황 항목에서는 내부 인력과 외주 인력의 현황을 구분하여 작성하며, 조직도와 직무 기술서, 외주 계약서 등 공식 문서를 통해 인력 구성을 증빙합니다. 또한 CISO(최고정보보호책임자)나 CPO(개인정보보호책임자) 지정 현황을 별도로 기재해야 합니다.
(3) 정보보호 관련 인증, 평가, 점검 등에 관한 사항
인증·평가·점검 현황에서는 정보보호 관련 인증서, 평가 결과, 점검 결과서 등을 통해 기업의 보안 수준을 객관적으로 제시합니다.
(4) 정보보호를 위한 활동 현황
마지막으로 활동 현황 항목에서는 임직원 보안 인식 제고 활동, 정보보호 교육, 캠페인, 보안 점검 등 연간 활동 실적과 결과 보고서를 포함하여 공시의 완성도를 높입니다.
공시 자료의 객관성과 일관성을 확보하기 위해 모든 자료는 공시대상연도(공시하는 해의 전년도)의 1월 1일부터 12월 31까지 발생한 내용에 대해 준비해야 합니다. 또한, 투자 현황 필요자료 중 ‘자산대장 상의 공시대상연도 당기감가상각비 합계’ 및 ‘비용원장 상의 공시대상연도 비용합계’가 ‘감사보고서 및 합계잔액시산표 상의 합계’와 일치하는지 확인해야 합니다. 인건비의 경우, 정보기술부문 및 정보보호부문 내부인력이 산정된 후 해당 인력들에 대한 인건비 내역만 준비하면 됩니다.
정보보호 공시 제도의 이행 절차는 어떻게 되나요?
정보보호 공시 제도의 이행 절차는 총 9단계로 구성되어 있으며, 각 단계는 공시의 정확성과 신뢰성을 확보하기 위한 체계적인 흐름을 갖고 있습니다. 먼저 최고정보보호책임자(CISO)를 중심으로 한 TF(협의체)를 구성해 관련 부서 간 협업 체계를 마련합니다. 이후 공시를 위한 자료를 준비하며, 투자, 인력, 인증 및 평가, 활동 내역 등 주요 데이터를 수집합니다. 다음으로 총 임직원 수를 산정하고, 정보기술부문과 정보보호부문의 인력 및 투자 내역을 선정합니다. 이때, 정보기술부문과 정보보호부문 중 어느 하나에 해당하는지가 모호한 내용에 대해서는 정보기술부문은 포괄적으로, 정보보호부문은 보수적으로 산정하면 됩니다. 이후 인증, 평가 및 점검 결과와 보안 활동 증적을 취합해 근거 자료를 확보하고, 이를 기반으로 공시 서식을 작성합니다. 작성된 내용은 최고경영자의 검토 및 결재를 거친 후, 과학기술정보통신부 전자공시시스템에 입력·확인하는 절차로 마무리됩니다.
정보보호 공시 제도를 이행하면 어떤 혜택이 있나요?
(1) 정보보호 관리체계(ISMS) 인증 수수료 30% 할인
정보보호 공시를 자율 공시한 경우에는 공시 시점부터 1년 내에 정보보호 및 개인정보보호 관리체계(ISMS 또는 ISMS-P) 인증심사(최초/갱신/사후) 수수료 30% 할인이 가능합니다.
(2) 정보보호 투자 우수기업 표기
정보보호 투자 우수기업 표기는 정보보호관리체계(ISMS) 또는 정보보호 및 개인정보보호관리체계(ISMS-P) 인증을 받았거나, 정보보호 준비도 평가에서 AA등급 이상을 받은 기업에게 부여됩니다. 한국인터넷진흥원(KISA)의 정보보호 공시 종합 포털에 메달 모양 아이콘을 받게 되며, 이는 자율공시 기업과 의무공시 기업에게 제공되는 혜택입니다.
(3) 정보보호 공시 우수기업 선정
공시 이행 기업의 정보보호 현황(투자액, 인력, 점검, 활동) 증가 정도 및 공시 연속성 등을 고려하여 우수 기업 선정 후 과학기술정보통신부 장관 표창이 수여됩니다. 정보보호공시 우수기업 표창은 과학기술정보통신부 장관 표창이며, 정보보호 공시를 성실히 수행하고 정보보호 투자, 인력, 관리체계 등이 우수한 기업에 수여됩니다. 표창 대상은 의무공시 기업과 자율공시 기업 모두 해당하며, 수상 기업은 ISDS 시스템에서 왕관 표시를 받게 됩니다.
(4) KISA 지원 사업 가점 부여
정보보호 공시를 자율 공시한 기업은 공시 시점부터 1년 이내에 KISA가 발주하는 일부 지원 사업에 참여할 경우 가점을 받을 수 있으며, 관련 입찰 공고는 KISA 홈페이지에서 확인할 수 있습니다.
정보보호 공시제도의 중요 요소인 ‘정보보호’, 엑소스피어와 함께 시작하세요!
정보보호 공시 제도는 기업이 보안에 얼마나 투자하고, 어떤 체계를 갖추며, 보안 사고 발생 시 어떻게 대응하는지를 투명하게 공개하고 평가하는 제도입니다. 이 과정에서 PC 보안과 보안 정책 관리를 한 번에 해결해주는 엑소스피어는 특히 유용합니다. 엑소스피어는 백신과 정보유출 방지(DLP) 기능을 통합한 SaaS 기반 올인원 PC보안 서비스입니다. ISMS·ISMS-P 인증 준비에 필요한 엔드포인트 보안 항목을 지원하며, 이를 인증·평가 점검 사항에 반영할 수 있습니다. 또한 PC보안 점검, 취약점 점검 등 다양한 활동을 정보보호 활동 현황에 기록할 수 있어, 정보보호 공시를 보다 체계적으로 준비할 수 있습니다. 실제로 엑소스피어 고객사 중에는 보안 운영 플랫폼, 교육∙소셜미디어 플랫폼을 제공하는 기업이 자율 공시를 실시한 사례도 있습니다.
엑소스피어의 주요 기능으로는 실시간 및 예약 백신 검사, 랜섬웨어 방어, 악성 URL 차단, PC 보안 점검(OS 패치, 방화벽 설정, 비밀번호 관리, 화면보호기 사용 등), IT 자산 정보 수집(하드웨어, 소프트웨어, IP), USB 매체 차단, 파일 반출 승인·차단, 개인정보 검출 및 암호화, 출력물 보안 등이 있습니다. 이를 통해 외부 해킹 예방과 내부 정보 유출 방지를 동시에 진행할 수 있다는 강점이 있습니다. 엑소스피어를 도입하시면 기업은 정보보호 공시 준비 부담을 최소화하면서, 기본적인 보안 체계를 갖추고 대외 신뢰를 강화할 수 있습니다.
최근 과학기술정보통신부 발표에 따르면, 2025년 정보보호 공시 사후검증 대상에 플랫폼과 통신사를 포함한 40개 기업이 포함되었고, 그중 절반이 넘는 기업에는 수정공시 요청이 나왔습니다. 이제 정보보호 공시는 단순히 법규를 지키는 수준을 넘어, 기업의 신뢰도와 투명성을 보여주는 중요한 지표로 자리 잡고 있습니다. 엑소스피어와 기업 정보보호를 시작하고, 보안의 대외 신뢰도를 높이며 정보보호 공시 제도를 통해 브랜드 가치와 경쟁력을 강화해 보시기를 바랍니다!
지금 ‘무료체험 시작하기’를 통해 회원가입을 진행하시면, 2주 동안 엑소스피어의 보안 기능들을 마음껏 체험해보실 수 있습니다! 무료체험 중 엑소스피어 기능에 대해 궁금한 점이나 PC보안 서비스 도입 관련 고민이 있으시다면 언제든지 문의 부탁드립니다. 담당자가 빠르고 친절하게 안내 도와드리겠습니다. 감사합니다.
[참고 링크 및 문서]
한국인터넷진흥원(KISA) - 정보보호 공시제도 개요
과학기술정보통신부, 한국인터넷진흥원(KISA) - 정보보호 공시 가이드라인(2025.02) - 정보보호 공시 적용 대상 / 항목별 필요 자료 및 준비 담당 / 공시 이행 절차
한국인터넷진흥원(KISA) 정보보호 공시 종합 포털 - 정보보호 공시현황 / 정보보호 공시 이행 혜택
보안뉴스 - “국내 통신·플랫폼 기업 40곳 중 절반, 정보보호 공시 다시 해야”(2025.11.06)
바이라인네트워크 - “정보보호 공시 의무, 전체 상장사 대상 확대...’실효성 확보’가 관건(2025.11.11)