기업 해킹 당하면 공개 의무화 한다

앞으로 모든 상장기업과 금융회사는 해킹 피해를 입으면 이를 반드시 공개해야 한다. 인수합병 등 주요 경영 현안에 대해 알리는 공시제도를 해킹 피해로까지 확대하는 것이다.

1일 지식경제부에 따르면 이르면 2014년부터 기업들은 금융감독원 기업공시 사이트(dart.fss.or.kr)나 한국거래소(krx.co.kr) 홈페이지에 해킹 공격을 당한 사실과 해킹 공격에 얼마나 잘 대처할 능력이 있는지를 공개해야 한다. 또 보안 인력을 얼마나 채용했는지 보안 예산은 얼마나 쓰는지 등의 내용을 담은 보고서를 연 1회 공시해야 한다. 이 방안이 실행되면 보안이 취약한 은행과 거래를 끊을 수 있고 정보보호 관리에 소홀한 포털 사이트에서 탈퇴할 수도 있어 소비자 선택권이 늘어난다.

해킹 공시제도는 지난해 12월 정보보호 관계부처가 공동으로 마련한 정보보안 산업 활성화 방안에서 처음 논의됐지만 보안에 투자할 여력이 없다는 기업들의 반발을 의식해 논의가 지지부진했다.

하지만 지경부는 최근 대형 해킹사건이 연이어 터지자 제도 도입을 더 이상 미룰 수 없다는 판단에 한국인터넷진흥원(KISA)에 정보보안 공시제도 정책 초안을 만들라고 지시했다. 이에 따라 KISA 측은 최근 정보보안 수준 공시제도 도입 검토 연구 방안이라는 보고서를 작성했다.

미국 연방증권거래소(SEC)는 씨티그룹과 소니 등에서 해킹 사고가 발생하자 올해 6월 이와 유사한 제도를 도입했다. 한 대학의 정보보호학과 교수는 한국의 제도 실행 시기는 2014년으로 미국보다 3년이나 늦다며 최근 한국도 초유의 해킹 사고를 경험한 만큼 서둘러 해킹 공시제도를 도입해야 한다고 지적했다.

이에 대해 지경부 엄찬왕 전자산업과장은 해킹 관련 정보를 의무적으로 공개한다면 기업들이 더욱 책임을 갖고 체계적인 정보보호 대응방안을 마련하게 된다며 금융위원회와 방송통신위원회 등 관계부처와 공조해 제도 실행 시기를 최대한 앞당기겠다고 말했다.

한편 KISA가 2009년 12월 기준으로 조사한 자료를 보면 5인 이상 기업 6000곳 중 사이버 보안사고가 발생한 사실을 경찰청 등 관계기관에 신고하는 기업은 16.0%에 불과했다. 신고하지 않는 이유에 대해서는 절반 이상이 내부에서 조용히 해결하는 게 바람직하기 때문이라고 응답했다.

정진욱 coolj@donga.com