국회 과학기술정보방송통신위원회 소속 국민의힘 이상휘 의원(포항 남·울릉)은 한국인터넷진흥원으로부터 받은 '최근 5년간 정보보호 공시 의무대상'자료에 따르면 2025년 기준 정보보호 공시 의무대상은 총 666개 기업이며, 이 중 23.7%인 158개의 기업은 정보보호부문 인력이 0명인 것으로 밝혀졌다고 21일 밝혔다. 또 이 중 26곳은 정보보호최고책임자(CISO)를 지정조차 하지 않았다고 덧붙였다.
정보보호 공시제도는 정부가 국민의 안전한 인터넷 이용과 기업 정보보호 투자 활성화를 위해 일정 규모 이상 기업을 대상으로 시행한다. 정보보호 투자와 전담 인력, 관련 활동 등 기업의 정보보호 현황을 의무 공개하는 제도다. 국민에게 기업의 보안 수준을 투명하게 공개해 자율적 경쟁을 유도하기 위한 제도다.
이 의원은 "하지만 지금은 기업들이 ‘형식적 보고서’만 내고 끝나 공시이후 관리가 허술하다는 지적이 있어왔다"면서 "특히 해외에 본사를 두고 있는 글로벌 기업인 구글, 메타, 오라클 등은 정보보호 국내 전담인력과 투자액을 아예 표기를 하지 않았다. 글로벌 시장에서 사업을 운영하는 만큼, 국내 정보·보호 투자 자료를 따로 산출하는 것이 어렵다는 입장"이라고 밝혔다.
이어 이 의원은 "일부 기업들은 CISO의 연봉이 높아 채용 대신 연 1000만원의 과태료를 납부하는 ‘도덕적 해이’가 벌어지고 있다” 면서 “해킹과 개인정보 유출 사태에도 많은 기업이 보안 투자에 인색하다”고 지적했다. 이 의원은 “지금의 정보보호 공시제도는 공시만 있고 보안 대책과 후속 조치는 없다” 면서 “해킹의 불안을 잠재우기 위해서 정부는 실효성 있는 제도 개선에 즉각 나서야 한다”고 촉구했다.
