앞으로 매출액과 상관없이 유가증권시장(KOSPI)과 코스닥(KOSDAQ)에 상장된 모든 기업은 정보보호 투자 현황과 인력을 의무적으로 공시해야 한다.

그동안 '매출 3000억 원'이라는 기준 뒤에 숨어있던 기업들의 보안 사각지대를 없애고, 날로 지능화되는 해킹 위협에 맞서 기업의 사회적 책임을 강화하겠다는 정부의 강력한 의지가 반영된 조치다.

과학기술정보통신부는 이 같은 내용을 골자로 하는 '정보보호산업의 진흥에 관한 법률(정보보호산업법) 시행령' 개정안을 마련하고, 오는 2월 19일까지 입법예고한다고 9일 밝혔다.

이번 개정안은 지난해 10월 관계부처가 합동으로 발표한 '범부처 정보보호 종합대책'의 후속 조치로, 국가 전반의 정보보호 역량을 한 단계 끌어올리기 위한 '보안 인프라 대수술'로 풀이된다.

이번 시행령 개정의 핵심은 '공시 의무 대상의 대폭 확대'다.

기존에는 매출액 3000억 원 이상인 상장사만 정보보호 공시 의무를 졌으나, 개정안은 이 매출액 기준을 전격 삭제했다.

이에 따라 기업 규모와 관계없이 국내 양대 증시(코스피·코스닥)에 상장된 법인이라면 예외 없이 정보보호 현황을 투명하게 공개해야 한다.

의무 대상의 범위도 촘촘해졌다.

기업의 정보보호 관리 수준을 평가하는 '정보보호 관리체계(ISMS)' 인증을 받은 기업들도 공시 의무 대상에 새롭게 편입된다.

아울러 그동안 형평성 논란이 있었던 예외 조항도 손질했다. 공공기관과 금융회사, 소기업, 전자금융업자 등에 적용되던 공시 의무 예외 규정을 삭제해, 업종이나 기업 형태에 따른 '보안 열외'를 없앴다.

과기정통부는 입법예고 기간 동안 기업과 전문가 등 이해관계자의 의견을 수렴하고, 규제 심사와 법제처 심사 등 행정 절차를 거쳐 확정할 방침이다.

제도의 본격적인 적용 시점은 기업들의 준비 기간을 고려해 '2027년 정보보호 공시 대상자'부터로 설정했다.

정부는 제도의 연착륙을 위한 지원책도 병행한다.

공시 의무가 처음 부과되는 기업들의 혼란과 행정 부담을 줄이기 위해 맞춤형 가이드라인을 배포하고, 컨설팅과 교육을 지원할 계획이다.

최우혁 과기정통부 네트워크정책실장은 "이번 제도 개선은 기업들의 정보보호 현황을 투명하게 공개함으로써 국민의 알 권리를 보장하는 동시에, 기업 스스로 보안 투자를 늘리도록 유도하는 촉매제가 될 것"이라며 "사회 전반의 정보보호 수준을 획기적으로 높이는 계기가 되길 기대한다"고 밝혔다.