금융사의 보안·IT 사고가 급증하고 있지만 금융권 정보보호 공시체계는 사실상 개점휴업 상태다. 정보보호 관련 투자·관리를 가늠할 수 있는 공시체계 참여 기업은 일부에 국한됐다. 금융사 정보보안 공시체계 전면 손질이 필요하다는 지적이다.
2일 과학기술정보통신부와 한국인터넷진흥원(KISA)이 운영하는 '정보보호 공시 종합 포털'에 따르면 공시에 참여한 은행은 전체 20여곳 중 절반 수준인 10곳, 카드사는 8개사 중 1곳만 참여했다. 증권사는 60곳 가운데 16% 수준인 10곳에 불과했다. 지난해 은행은 6곳, 증권사는 6곳이 공시했고 카드사의 공시는 전무했다. 전년 대비 공시가 소폭 증가했지만 전체 금융회사 수 대비 공시 기업 비중은 여전히 미미하다.

참여율이 저조한 이유는 금융회사가 정보보호 공시 의무대상이 아니기 때문이다. 정부에서 정한 정보보호 공시 의무 대상은 유가증권시장·코스닥시장 상장법인 중 매출액이 3000억원 이상이고, 정보통신서비스 하루 평균 이용자 수가 100만명 이상인 기업으로 제한됐다.
사업 분야도 집적정보통신시설(데이터센터), 상급종합병원, 클라우드컴퓨팅 서비스 사업자로 한정했다. 금융사의 경우 금전과 직결되는 인프라망을 사용함에도 공공인프라로 인정받지 못하고 있는 셈이다.
현재 금융사는 자율 공시를 하고 있다. 정부는 정보보호 공시를 하는 금융사에 다양한 인센티브를 제공하지만, 업계는 혜택이 미미하고 의무가 아닌데 굳이 할 필요를 못 느낀다고 토로한다.
혜택을 떠나 내부 정보보안 현황 공개에 거부감을 갖는 기업이 상당수다. 상황이 이렇다 보니 대부분 금융사는 지속가능경영보고서를 통해 대락적인 정보보호 투자 현황만 공개하고 있다.
하지만 양식과 공개항목이 정보보호 공시와 다르고, 지속가능경영보고서의 경우 통상 100페이지 이상으로 구성돼 고객이 쉽게 금융사의 정보보호 현황을 파악하기 어렵다.
이에 정부가 금융회사를 정보보호 공시 의무대상에 포함하는 정보보호산업법 시행령 개정안을 추진 중이지만 늦어지고 있다. 과학기술정보통신부는 올해 1월 공시 의무대상에서 제외됐던 △공공기관 △소기업 △금융사업자 △전자금융업자를 포함하는 개정안을 입법예고, 5월 소기업에 대해서는 경영여건을 고려해 시행일을 2년 유예하는 내용으로 변경해 재입법예고했다. 개정안은 현재 규제심사 단계를 밟고 있다.
지난해 10월 금융위의 '범부처 정보보호 종합대책' 발표 이후 빠르게 입법을 추진했다면 올해부터 금융회사의 정보보호 공시가 이뤄질 수 있었지만, 해를 넘기게 됐다.
과기정통부 관계자는 “올해 규제합리화위원회가 개편되며 입법 절차가 지연된 부분이 있다”며 “공시 의무대상을 올해부터 넓히면 기업들의 혼란이 클 거 같아 2027년부터 시행령 개정안을 실행하는 것을 목표로 입법을 추진하고 있다”고 말했다.
정보보호 공시에 참여한 증권사 관계자는 “공시 인센티브 혜택이 크지 않은 점이 아쉽다”며 “인센티브를 큰 폭으로 늘리고, 불가피하게 외부 공격으로 인한 정보보호 관련 사고가 발생했을 때 공시에 열심히 참여한 점을 처분에 반영해준다면 참여가 늘어날 것이라고 생각한다”고 말했다.
또 다른 금융업계 관계자는 “정보보호 투자금액에 대한 세액공제를 확대하고, 공시 우수기업에 대한 추가 세제 인센티브를 제공해주면 좋겠다”고 밝혔다.
김신영 기자 spicyzero@etnews.com