[단독]상장사-금융사 해킹당한 사실 공시 의무화… 2014년부터 시행 예정

금감원 - 거래소 홈피에 반드시 알려야… 보안 인력 - 예산 등도 年1회 공시해야

앞으로 모든 상장기업과 금융회사는 해킹을 당하면 이를 반드시 공개해야 한다. 인수합병 등 주요 경영 현안을 알리는 공시제도를 해킹 피해로까지 확대하는 것이다.

4일 지식경제부에 따르면 이르면 2014년부터 기업들은 금융감독원 기업공시 사이트(dart.fss.or.kr)나 한국거래소(krx.co.kr) 홈페이지에 해킹을 당한 사실과 해킹에 얼마나 잘 대처할 능력이 있는지를 공개해야 한다. 또 △보안 인력을 얼마나 채용했는지 △보안 예산은 얼마나 쓰는지 등의 내용을 담은 보고서를 연 1회 공시해야 한다. 이 방안이 실행되면 보안이 취약한 은행과 거래를 끊을 수 있고 정보보호 관리에 소홀한 포털 사이트에서 탈퇴할 수도 있어 소비자 선택권이 늘어난다.

해킹 공시제도는 지난해 12월 정보보호 관계부처가 공동으로 마련한 ‘정보보안 산업 활성화 방안’에서 처음 논의됐지만 “보안에 투자할 여력이 없다”는 기업들의 반발을 의식해 논의가 지지부진했다.

하지만 지경부는 최근 대형 해킹사건이 연이어 터지자 제도 도입을 더는 미룰 수 없다는 판단에 한국인터넷진흥원(KISA)에 정보보안 공시제도 정책 초안을 만들라고 지시했다.

미국 연방증권거래소(SEC)는 씨티그룹과 소니 등에서 해킹 사고가 발생하자 올해 6월 이와 유사한 제도를 도입했다. 한 대학의 정보보호학과 교수는 “한국의 제도 실행 시기는 2014년으로 미국보다 3년이나 늦다”며 “최근 한국도 초유의 해킹 사고를 경험한 만큼 서둘러 해킹 공시제도를 도입해야 한다”고 지적했다.

이에 대해 지경부 엄찬왕 전자산업과장은 “해킹 관련 정보를 의무적으로 공개한다면 기업들이 더욱 책임을 갖고 체계적인 정보보호 대응방안을 마련하게 된다”며 “금융위원회와 방송통신위원회 등 관계부처와 공조해 제도 실행 시기를 최대한 앞당기겠다”고 말했다.

KISA에 따르면 5인 이상 기업 6000곳 중 사이버 보안사고가 발생한 사실을 경찰청 등 관계기관에 신고한 기업은 16.0%에 불과했다. 신고하지 않은 이유에 대해서는 절반 이상이 “내부에서 조용히 해결하는 게 바람직하기 때문”이라고 응답했다.

정진욱 기자 coolj@donga.com