정보보호 공시는 2027년부터 본격 시행되지만, 준비는 지금 시작해야 합니다. 공시는 단순히 보안팀만의 일이 아닙니다. 경영진, 법무팀, PR/IR팀이 함께 움직여야 하는 전사적 과제입니다.

첫째, 우리 회사의 보안 자산 지도를 그려야 합니다. 가장 중요한 시스템은 무엇인지, 고객 데이터는 어디에 어떻게 저장되는지, 만약 이게 해킹당하면 회사가 어떤 영향을 받는지 명확히 파악해야 합니다. 금고가 어디 있는지, 출입문은 몇 개인지 모르면 방어할 수 없습니다. 공시의 출발점은 "우리가 무엇을 지켜야 하는가"를 정확히 아는 데서 시작합니다.

둘째, 보안 데이터를 재무 데이터처럼 관리해야 합니다. 예산은 재무팀, 인력은 HR, 훈련은 교육팀, 사고 대응은 보안팀에 흩어져 있으면 공시 때마다 말이 달라집니다. 2026년에 해야 할 일은 ‘보안 원장(단일 기준표)’을 만드는 겁니다. “올해 보안 인력 몇 명, 예산 얼마, 훈련 몇 회, 취약점 진단 커버리지는 어디까지, 사고 발생 시 대응 시간은 어느 정도” 같은 항목을 한 곳에서 확정하고, 분기마다 업데이트하는 방식으로 바꾸어야 합니다. 

보안 투자를 세분화해 기록하고 관리해야 합니다. 과기정통부가 투자 활동 세분화를 예고한 것은 "얼마나 썼는가"뿐 아니라 "무엇에 어떻게 썼는가"를 명확히 보여달라는 요구입니다. 인력 투자, 장비 투자, 서비스 투자, 교육 투자를 구분해 관리하고, 전년 대비 증감률과 그 이유를 설명할 수 있어야 합니다.

셋째, 공시 문장도 ‘증빙형 문장’으로 바꿔야 합니다. “안전합니다” 같은 단정은 위험합니다. 대신 “우리는 무엇을 정기적으로 점검하고, 어떤 기준으로 조치했으며, 그 결과를 어떻게 개선에 반영한다”처럼 활동–기준–증빙–개선의 흐름으로 써야 합니다. 이런 구조는 투자자 설득은 물론 규제 대응도 가능합니다.
이제는 단순히 ‘보안을 했다’가 아니라 ‘어떻게 했는지’를 기록해야 합니다. 

"우리 보안 잘하고 있습니다"가 아니라, "올해 3분기 취약점 47개 발견 → 42개 해결 완료", "모의 해킹 테스트 연 4회 실시 → 보고서 보관", "직원 보안 교육 분기 1회 → 참석률 94%" 같은 구체적 증거를 남겨야 합니다. 공시는 포장이 아니라 데이터입니다. 

넷째, 보안팀 혼자 하는 일이 아닙니다. 공시는 회사의 공식 발표입니다. 경영진이 예산을 결정하고, 법무팀이 규제를 해석하며, PR/IR팀이 공시 문서를 작성하고, IT/보안팀이 기술적 데이터를 제공하는 협업 구조가 필요합니다. 화재 대응이 소방관만 하는 게 아니듯, 보안도 전사적 과제가 돼야 합니다.

2026년 안에 모의 공시를 해보는 것이 현실적인 방법입니다. 실제 공시처럼 초안을 쓰고, 재무/법무/IR/보안이 함께 검증하면, 2027년에 ‘처음 해보는 공시’의 리스크가 크게 줄어듭니다. 공시는 발표가 아니라 ‘검증을 통과한 기록’이기 때문입니다.