첫 번째 변화는 정보보호 공시 의무 대상의 전면 확대입니다.

과학기술부는 1월 9일 [정보보호산업의 진흥에 관한 법률 시행령 일부개정령안]을 입법예고하고, 정보보호 공시 의무 대상 사업자 범위 확대 및 이용자 수 산정 기준을 변경(안 제8조 제1항)한다고 밝혔다.
기존에는 CISO 지정·신고 및 매출액 3,000억 이상인 기업만 공시 의무가 있었다. 이번 개정안에서는  이 내용을 삭제해 유가증권 시장 및 코스닥 시장 상장 법인으로 의무대상 범위 확대(제8조 제1항 제2호 개정)했다. 이용자 수 산정기준도 전년도 말 직전 3개월 평균에서 전년도 전체 평균으로 개정(제8조 제1항 제3호 개정)했다. 전년도 말 기준 정보통신망법 상 정보보호 관리체계 인증 의무 기업을 정보보호 공시 제도 의무대상자에 포함(제8조 제1항 제4호 신설) 시켰다. 

지금까지는 덩치가 아주 큰 기업들(매출액 3,000억 원 이상 등)만 사이버 보안에 얼마나 투자하고 노력하는지 공개하라는 의무가 있었지만 범위가 확대된 것입니다.  공공기관, 금융사, 소기업 예외 조항도 대부분 삭제됩니다. 

정부는 2027년 적용을 목표로 후속 절차를 진행하고 있습니다. 2027년, 모든 상장 기업은 '보안 성적표'를 공개해야 하는 상황이 됩니다. 

이 변화의 의미는 단순히 ‘대상이 늘었다’가 아닙니다. SK텔레콤, KT, 쿠팡 사고를 보면, "대기업이니까 안전하겠지"라는 믿음이 산산조각 났습니다. 투자자와 고객은 이제 "이 회사 보안 조직은 제대로 갖춰져 있는가?", "올해 보안에 얼마나 투자했는가?", "사고가 났을 때 어떻게 대응했는가?"를 확인하려 합니다. 보안이 재무제표처럼 공개 정보가 되는 시대가 온 것입니다.

더 중요한 변화는 공시의 질입니다. 

과기정통부는 공시 제도 실효성 제고를 위해 작성 기준과 양식 개정을 예고했습니다. 단순히 "보안에 돈을 얼마 투자했다"는 내용만 적는 게 아닙니다. 이제는 아주 구체적인 보안 활동을 정리해야 합니다.  

우리 회사가 가진 컴퓨터와 서버가 몇 대인지 정확히 파악하고 관리하고 있는지 파악해야 하는 것은 기본입니다. 보안을 위해 어떤 내부 규칙을 세우고 운영하고 있는가를 공시해야 합니다. 만약 해킹이 발생하면 어떻게 대처할 것인지 구체적인 계획도 수립해야 합니다. 회사의 중요한 의사를 결정하는 이사회에서 이사회 보안 문제를 직접 챙기고 있는지도 체크할 사항입니다. 이제 기업들은 "우리 보안 잘하고 있어요"라고 말만 하는 게 아니라, 증거를 숫자로 보여줘야 합니다. 

이는 공시가 ‘잘하고 있다’는 메시지를 포장하는 장이 아니라, 기업 간 비교가 가능한 데이터로 바뀐다는 것을 의미합니다. 

앞으로는 "우리 회사 보안 투자 작년 대비 30% 증가, 모의해킹 4회 실시, 사고 0건 유지"라는 구체적인 숫자가 투자자에게 강력한 신뢰의 신호가 됩니다. 반대로 준비가 안 된 회사는 공시하기 부끄러운 수치를 공개해야 하고, 투자자 신뢰가 하락합니다.

👉 관련 링크
https://www.moleg.go.kr/lawinfo/makingInfo.mo?mid=a10104010000&lawSeq=85168&lawCd=0&lawType=TYPE5&pageCnt=10&currentPage=1&keyField=lmNm&keyWord=%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8&stYdFmt=&edYdFmt=&lsClsCd=&cptOfiOrgCd=