정보보호 공시 의무 확대, 기업이 확인해야 할 체크포인트
보안은 이제 기업의 ‘선택’이 아니라 고객과 사회가 요구하는 책임의 기준이다. 동시에 신뢰를 지키고 지속가능한 성장을 만드는 필수 경영 요소로 자리 잡았다. 2025년 국내에서 대형 보안 사고가 잇따라 발생하며, 해킹 한 번이 기업의 이미지와 브랜드 가치를 얼마나 빠르게 훼손할 수 있는지 여실히 드러났다.
이처럼 보안에 대한 사회적 요구가 높아지는 가운데, 2026년 1월 9일 정보보호산업법 시행령 개정안 입법 예고로 정보보호 공시 의무가 확대될 예정이다. 공시 의무 제외 대상 조항이 정비되고 ISMS(P) 인증 기업까지 포함되면서, 적용 범위가 넓어지고 제도의 사각 지대도 줄어들 것으로 보인다. 이번 변화는 단순한 규제에 그치지 않고, 기업이 보안 역량을 점검하고 체계를 고도화해 시장과 고객에게 ‘신뢰할 수 있는 기업’임을 증명할 기회가 될 수 있다.
무엇이 바뀔까? 시행령 개정안 핵심 요약
이번 개정안의 방향을 한 마디로 정의하면 ‘예외 없는 의무화’라고 할 수 있다. 2027년부터는 거의 모든 기업들이 예외 없이 정보보호 공시를 하게 될 것이다.
그동안 “매출 규모가 작아서”, “우리는 금융/공공기관이라서”와 같은 핑계를 대면 공시 의무 대상에서 제외되는 조건이 존재했다. 그러나 앞으로는 이런 예외가 축소되거나 정비되며 정보보호 공시 대상이 확대된다.
특히 ISMS 인증 기업까지 공시 대상에 포함될 수 있다는 점은 많은 기업에 영향을 줄 수 있다. 인증을 받았다는 사실만으로 충분한 것이 아니라, 실제로 기업이 보안 운영을 어떻게 하고 있는지까지 투명하게 설명해야 하는 시대가 도래한 셈이다.
<핵심 변화 3가지>
- 매출 기준 삭제: 기존에는 매출 3,000억 원 이상 기업에 한해 적용되던 기준이 정비되면서, 상장사는 모두 필수 공시 대상이 될 전망이다.
- ISMS 인증 기업 포함: 정보보호 관리체계(ISMS) 인증 의무 기업이라면 공시 의무도 자동 부여된다.
- 예외 조항 축소: 공공기관·금융회사·소기업 등 일부 대상에 적용되던 예외 조항이 삭제됐는데, 이는 정부가 제도의 형평성을 높이고 보안 사각지대를 줄이려는 방향으로 해석된다.
[표 1] 정보보호산업법 시행령 개정안 주요 내용(개정 전/후 비교)
‘공시 확대’가 기업에 던지는 메시지와 실무적 의미
이번 개정안이 기업에 요구하는 핵심은 ‘투명성’이다. 정보보호 수준을 객관적인 근거를 바탕으로 투명하게 공개하라는 메시지다. 2027년 적용될 공시 확대에 대응하기 위해, 실무자들은 미리 점검하고 준비해야 한다. 특히 아래 세 가지는 지금부터 챙겨야 할 핵심 과제다.
1) 공시 대상 여부 재확인
“작년에는 대상이 아니었으니 올해도 아닐 것”이라고 판단하면 위험하다. 매출 기준 변화, 예외 조항 정비 등으로 공시 대상이 확대될 가능성이 있는 만큼, 기존에 매출 기준 미달이었거나 예외 업종에 해당했던 기업이라면 대상 여부를 우선 재점검해야 한다.
2) ISMS 기반 관리체계 재점검
ISMS 인증을 받았다고 해서 공시 준비가 자동으로 끝나는 것은 아니다. 공시 항목은 인증 기준과 요구사항이 일부 다를 수 있으며, 실제 운영 데이터와 증빙 체계까지 요구될 수 있다. 이미 인증을 보유한 기업은 공시 항목 관점에서 관리 체계를 다시 정리하고, 미인증 기업이라면 향후 부담을 줄이기 위해 선제적으로 준비를 시작해야 할 것이다.
3) 정량 데이터의 일관성과 신뢰성 확보
정보보호 공시는 결국 정량 지표 기반의 ‘증빙’ 경쟁이다. 투자액, 인력 규모, 운영 현황 등 핵심 데이터가 매년 들쑥날쑥하거나 근거가 부족하면, 공시 자체가 오히려 신뢰를 떨어뜨릴 수 있다. 따라서 내부 시스템에서 데이터가 정확하고 일관되게 산출·관리되도록, 기준과 프로세스를 미리 정비해야 한다.
[표 2]는 정보보호 공시 의무 확대에 대비해 기업들이 실무적으로 점검해야 할 체크포인트 12개를 정리한 것이다. 각 항목은 증빙 가능한 형태로 관리되고 있는지를 기준으로 확인해야 한다. 또한, 공시 대응 과정에서 요구되는 핵심 역량과 이를 뒷받침할 수 있는 보안 솔루션 유형(예시)을 함께 제시해, 실무자가 준비 방향을 한눈에 파악할 수 있도록 구성했다.
[표 2] 정보보호 공시 대응을 위한 실무 체크리스트와 준비 역량, 솔루션 유형(예시)
안랩이 제안하는 현실적인 3단계 로드맵
정보보호 공시 의무 확대에 대비해 기업이 자체적으로 준비하는 것도 중요하다. 다만 공시 항목을 충족하기 위해서는 조직·인력·예산 같은 운영 체계는 물론, 증빙 가능한 데이터와 리포팅 기반까지 함께 갖춰야 한다. 내부 역량만으로 준비하기 어렵다면, 전문업체의 컨설팅과 기술 지원을 받는 것도 현실적인 선택이 될 수 있다.
안랩은 다양한 산업군의 보안 컨설팅 경험과 대응 노하우를 바탕으로, 기업이 공시 확대에 효과적으로 대비할 수 있는 3단계 대응 로드맵을 제안한다.
Step 1. 현황 파악(GAP 진단)
첫 단계는 기업의 현재 수준을 객관적으로 진단하는 것이다. 정보보호 조직·인력·예산 등 운영 체계가 공시 항목 기준에서 어느 수준에 있는지 점검하고, 기존 ISMS 체계와 공시 요구사항 사이에 존재하는 차이를 ‘갭(GAP)’ 관점에서 분석해야 한다. 이를 통해 개선에 있어 우선순위를 설정하고, 어떤 항목을 보완해야 하는지 명확해진다.
Step 2. 실질적 보안 역량 강화(관리체계 고도화 & 인프라 구축)
진단 결과를 바탕으로 취약한 부분을 보완하며, 관리체계와 기술적 보호조치를 함께 강화하는 단계다. 공시 의무 확대와 ISMS 요구사항이 맞물리면서, 엔드포인트와 네트워크 등 기본 보안 통제의 중요성은 더욱 커지고 있다. 이에 따라 AhnLab EPP(엔드포인트 보호 플랫폼)’와 AhnLab TrusGuard(안랩 차세대 네트워크 방화벽) 등으로 보안 기반을 정비하고, AhnLab EDR(엔드포인트 탐지 & 대응 솔루션)을 통해 위협 탐지와 대응 역량까지 확보하는 방식으로 보안 체계를 단계적으로 고도화할 수 있다. 핵심은 정책과 프로세스가 실제 운영 데이터로 연결되도록 관리체계와 기술이 유기적으로 맞물리게 만드는 것이다.
Step 3. 데이터 기반 공시 체계 마련(증빙·리포팅 체계 구축)
마지막 단계는 앞서 시행한 모든 보안 활동을 데이터로 증명할 수 있는 체계를 마련하는 것이다. 공시는 결국 정량 지표와 운영 이력에 기반해 신뢰를 확보하는 제도이므로, 경영진과 외부 이해관계자에게 제시할 수 있는 보고 체계가 필요하다. 예를 들어, XDR 기반 통합 관제를 활용하면 엔드포인트·네트워크·자산 등 다양한 환경에서 발생하는 보안 이벤트를 통합 관리하고 조직의 리스크 현황을 기반으로 자동 리포팅 체계를 구축하는 데 도움이 되며, 이는 공시 자료의 신뢰도를 높인다.
정보보호 공시 지원을 위한 안랩 솔루션
정보보호 공시는 조직이 수행한 보안 활동을 로그나 리포트, 운영 이력 등 근거 자료로 제시하는 과정이다. [표 3]는 공시 항목별 요구사항을 충족하고, 증빙 자료를 체계적으로 확보하는 데 도움이 될 수 있는 안랩의 보안 솔루션과 활용 방안 예시를 정리한 것이다.
[표 3] 정보보호 공시 항목별 요구사항과 안랩 솔루션 매핑 예시
위기를 기회로 전환해야 할 때
정보보호 공시 의무 확대는 기업 입장에서 분명 새로운 부담으로 느껴질 수 있다. 그러나 어차피 대응해야 하는 변화라면, 보안 역량을 한 단계 끌어올리는 계기로 삼는 것이 바람직하다. 투명하게 공개되는 정보보호 현황은 투자자와 고객에게 기업의 신뢰도를 보여주는 지표가 될 수 있으며, 장기적으로는 기업의 지속 가능성과 브랜드 가치에도 영향을 미친다.
2027년이 얼마 남지 않은 지금, 공시 확대가 본격화된 이후에 급하게 준비하기보다는 지금부터 차근차근 체계를 정비하고 증빙 기반을 마련하는 것이 중요하다. 선제적으로 준비한 기업일수록 이번 변화를 위기가 아닌 기회로 맞이할 수 있다.
FAQ | 경영진을 설득하는 방법
Q. 입법 예고된 정보보호 공시 의무를 이행하지 않을 경우 ‘1천만 원 이하 과태료’가 부과된다고 한다. 비용에 민감한 경영진 입장에서는 공시 대응을 위해 수천만~수억 원 규모의 보안 투자를 하기보다, 과태료 처분을 받는 편이 낫다고 판단할 수도 있을 것 같은데, 경영진을 어떻게 설득해야 할까?
A. 경영진은 보안 투자를 단순히 ‘지출’로 바라보기 쉽지만, 사고가 발생하는 순간 그 비용은 “책임 방어를 위한 증거 생산비” 로 재평가될 수 있다. 공시 준비 과정에서 정리되는 투자·인력·인증·보안 활동 데이터는, 유사시 이사회·감사·규제기관·고객에게 정보보호를 위해 기업이 어떤 수준의 보안 노력을 기울였는지를 일관되게 설명하는 기반이 된다.
반대로 공시를 의도적으로 소홀히 했다는 기록이 남을 경우, 사고 이후 기업은 최소한의 투명성조차 확보하지 못했다는 인식에 직면할 수 있고, 이는 법적·평판적 부담을 키우는 방향으로 작용할 수 있다. 또한 개인정보보호 관련 규제가 강화되는 흐름 속에서, 보안 사고 발생 시 기업이 감당해야 할 비용과 리스크는 과태료 수준을 훨씬 넘어설 가능성이 크다. 2025년 12월 국회정무위를 통과한 개인정보보호법 개정안에 따르면, 개인정보유출 사고 발생 시 과징금은 매출액 3%에서 10%로 상향된다.
따라서 경영진 설득의 핵심은 “공시를 하지 않았을 때의 과태료”가 아니라, 보안 사고 발생 시 기업이 부담해야 할 리스크의 총합을 보여주는 것이다. 유형적 위험(과징금·손해배상·사고 대응 비용)과 무형적 위험(신뢰 하락·평판 훼손·고객 이탈)을 함께 제시하면, 보안 투자가 기업의 신뢰와 지속 가능성을 뒷받침하는 중요한 기반임을 설득력 있게 전달할 수 있다.
출처 : AhnLab
