Q1. 보안 투자/인력 채용이 의무인가요?

이번 개정은 ‘새 장비를 구매해라, 인력을 채용해라’를 강제하는 제도가 아니라, 기업이나 기관이 이미 하고 있는 정보보호 투자·활동 현황을 공개하는 정보공개형 제도입니다. 물론 기존에 보안 투자와 수준이 미비했던 기업은 솔루션 구입과 인력 채용이 필요할 수도 있습니다. 

Q2. 기업 부담은 무엇이 늘어나요?

정보보호 공시를 위한  행정·관리 부담은 늘어납니다. 기업과 기관 내부의 정보보호 거버넌스와 관련 자료 취합 → 공시 항목 정리 → 시스템 입력/제출은 늘어나는 업무입니다.  

Q3. 기업 입장에서 이점이 있나요?

기업은 정보보호 수준에 대한 대외 신뢰도를 높이고, 투자자·거래처 대상 기업 이미지를 개선할 수 있습니다. 내부 정보보호 관리체계 점검/정비 계기가 됩니다. 공시는 규제이기도 하지만 동시에 기업 신뢰를 쌓는 ‘공식 증빙 자료’가 될 수 있습니다.

Q4. 언제부터 적용되나요?

시행령 개정 절차 완료 후 2027년부터 시행 예정입니다. 구체 공시 일정/작성 방법은 가이드라인과 별도 안내될 예정입니다. 

Q5. 어디에, 어떤 방식으로 공시하나요?

정보보호공시는 ‘정보보호 공시 종합포털(isds.kisa.or.kr)’에서 정해진 양식에 따라 투자/인력/인증/평가·점검/활동 등을 제출합니다.
이 제도는 일반 기업공시(DART)가 아니라, 정보보호 공시 종합포털에 매년 6월 30일까지 제출하는 방식입니다.

Q6. 공시 안하면 어떻게 되나요?

만약 공시를 하지 않으면 과태료를 내야 합니다. 처음 위반했을 때는 300만 원, 두 번째는 600만 원, 세 번째부터는 1,000만 원까지 부과됩니다. 이는 「정보보호산업의 진흥에 관한 법률」 제41조에 명시되어 있습니다. 다만 위반의 정도나 이유를 고려해서 과태료를 절반까지 줄여줄 수도 있고, 반대로 늘릴 수도 있습니다. 하지만 아무리 늘려도 법에서 정한 최대 금액인 1,000만 원을 넘을 수는 없습니다. 과태료는 과학기술정보통신부 장관이 부과합니다.

Q7. 정보보호 공시 관련 지원책이 있나요?

정부는 공시 경험이 없는 중·소기업을 위해 가이드라인, 교육, 컨설팅 지원을 병행하겠다고 밝혔습니다. 

먼저 공시를 어떻게 작성해야 하는지 자세히 알려주는 가이드라인을 배포합니다. 그리고 공시를 하기 전에 미리 점검해주는 컨설팅 서비스도 제공합니다. 실무 담당자들을 위한 맞춤형 교육 프로그램도 운영합니다. 처음 공시를 하는 회사라면 어디서부터 시작해야 할지 막막할 텐데, 이런 교육을 통해 실전 감각을 익힐 수 있습니다.