2021-12-06 13:30 (월)
[박나룡 보안칼럼] 정보보호 공시제도 활성화를 바란다
상태바
[박나룡 보안칼럼] 정보보호 공시제도 활성화를 바란다
  • 길민권 기자
  • 승인 2021.11.24 09:29
이 기사를 공유합니다

공시제도 대상, ISMS-P 인증대상과 유사한 수준으로 설정해 활성화 해야

최근에 기업의 사회적 책임이 강조되는 분위기 속에서, ESG 책임투자 활성화를 위한 지속가능성 정보의 자율공시를 활성화하기 위한 다양한 방안들이 만들어지고 있다.

국내에서는 약 130여개 기업이 해외의 주요 지속가능성 기준을 활용하여 자발적으로 지속가능성 보고서를 작성·공개하고 있는 상황이다.

앞으로 금융위원회는 지속가능성 보고서를 2025년까지 자율공시에서 2025~2030에는 일정 규모 이상 기업에 대해, 그 이후에는 모든 코스피 상장사에 대해 의무화할 계획을 세우고 있다.

해외에서는 지속가능성 회계기준위원회(Sustainability Accounting Standards Board, SASB)에서 지속가능성 회계기준을 수립하고 있으며, 다섯 가지(환경, 사회적 자본, 인적 자본, 사업 모형 및 혁신, 리더십 및 지배구조)의 포괄적 지속가능성 범주를 기준으로 구성하고 있다.

다섯 가지의 범주중에 ‘사회적 자본’ 카테고리에는 사회에서 기업 활동의 사회적 역할이라고 인식된 것 또는 기업이 기업 운영에 대한 사회적 운영 허가(Social License to Operate, SLO)를 받은 대가로 사회에 기여할 것이라는 기대와 관련하여, 고객, 지역사회, 공공 및 정부 등 주요 이해관계자와의 관계 관리를 다루며 ‘데이터 보안 및 고객 프라이버시’와 관련된 사안이 포함된다.

이러한 지속가능성회계 공시를 하는 이유는, 시장가치가 일반적으로 장부가치와 차이가 있기 때문이다.

이는 부분적으로는 전통적인 재무제표가 기업의 장기적 가치창출 역량에 기여하는 모든 요소를 반드시 반영하지는 않는다는 전제 조건에서, “가치 차이“의 상당 부분은 환경적, 사회적 및 인적 자본과 기업 지배구조의 관리 또는 부실 관리에서 기인하거나 이로 인해 심각하게 손상될 수 있다는 것이다.

그래서 기업보고서는 모든 중요한 위험과 기회에 대한 의사결정자의 이해를 향상시키는 지속가능성 정보의 측정과 보고가 가능하도록 재무제표를 넘어서 확장되어야 한다는 인식이 있다.

특히, SASB 기준은 산업별로 기업의 재무상태나 영업성과에 중요한 영향을 미칠 가능성이 높다고 판단되는 지속가능성 주제들을 다룬다.

각 기업이 중요한 정보가 무엇인지, 또 자사의 SEC 제출 보고서에 어떤 정보를 포함할지 여부를 판단할 책임이 기업에게 있다고 인식하고, 중요한 영향을 미칠 가능성이 높다고 판단되는 지속가능성 주제를 식별하는 데 있어 위원회는 미국 증권법에서 설정한 “중요성”의 정의를 적용하고 있다.

미국 대법원은, "합리적인 투자자의 관점에서, 누락된 사실이 공개되었다면 이용할 수 있는 정보의 '전체 맥락(total mix)'이 크게 달라졌을 것으로 간주 될 가능성이 상당할 경우” 해당 정보는 중요하다고 해석하고 있다.
[참고: SASB 개념체계(SASB Conceptual Framework), 클릭]

이렇듯, 앞으로 기업에 대한 투자나 의사결정에서 핵심적인 역할을 수행하게 될 지속가능성 관리 포인트의 중요성 개념과 정보보호 및 프라이버시의 중요도를 볼 때 조직의 정보보호 수준, 개인정보보호 관리 수준은 보고서에 상당한 비중으로 포함될 가능성이 높다.

우리나라도 이해관계자 보호 및 알권리를 보장하고, 기업의 자발적인 정보보호 투자를 촉진하기 위한 제도로 ‘정보보호산업의 진흥에 관한 법률’ 제13조(정보보호 공시)에 따라 정보보호 공시제도를 운영하고 있다.

정보보호 공시제도는 기업의 잠재적 재무상태 변화에 주요한 영향을 미칠 수 있는, 해킹사고로 인한 중요 정보 유출이나 징벌적·법정 손해배상 제도 도입에 따른 강화된 배상책임, 소비자 신뢰도 저하 등 정보보호 이슈에 대해 주주의 알권리 확보 차원에서 자율공시제로 시행 중이다.

정보보호 투자 현황과 정보보호 인력 현황, 정보보호 관련 인증에 관한 사항, 이용자 보호 활동을 주요 내용으로 과학기술정보통신부 전자공시시스템(ISDS)에 140여 건이 등록되어 있지만, 아직 충분히 활성화되었다고 보기 어려운 수준이다.

정보보호공시제도 활성화를 통해 기업들은 글로벌 관심사인 ESG 책임이나 지속가능성 측면에서 이해관계자들의 알권리를 높이고, 기업과 소비자 간의 신뢰를 확보할 수 있다.

정부에서도 국가의 전반적인 정보보호 수준을 높일 수 있고, 관련 정보를 시장에 제공함으로써 정보보호 시장의 확대와 안전한 IT환경을 구축할 수 있는 효과적인 제도로 인식하고 현재의 문제점을 파악하여 적극적으로 개선해 나가야 한다.

최근 법률 개정을 통해 정보보호 공시를 도입할 필요성이 있는 사업 분야, 매출액 및 서비스 이용자 수 등 일정 규모 이상의 기업에 대해 의무화가 되는 만큼, 그 대상을 기존의 ISMS-P 인증대상과 유사한 수준으로 설정하여 활성화할 필요가 있다.

박나룡 소장.
박나룡 소장.

또한, 현재의 공시 기준에 개인정보보호 개념을 포함한 다양한 지표로 확대하고, 검증 방법을 단순화 할 수 있는 방안을 마련하여 기업들이 보다 쉽고 적극적으로 공시제도에 참여할 수 있도록 유도해야 한다.

[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]


 

[FICCA2021] 아시아 금융&산업 사이버보안 컨퍼런스 2021에 보안담당자 여러분을 초대합니다.

-주최: RALFKAIROS(랄프캐로스)

-공동주최: 데일리시큐

-날짜: 2021년 11월 26일(금) 온라인(무료참관)

-참석대상: 국내 및 해외 공공, 기업, 금융기관 CISO, 정보보안실무자

-강사: 국내·외 최고 사이버보안전문가 초청강연(통역지원)

-무료참관등록: 클릭

▶지금 사전등록하세요!

★정보보안 대표 미디어 데일리시큐!★