최근 쿠팡 등 대형 기업들의 개인정보 유출 사고가 연이어 발생하면서 우리 사회는 다시 한번 기업의 정보보호 수준과 공시제도의 실효성을 돌아보게 되었다. 단순한 해킹사고나 기술문제로 치부하기에는 피해 규모와 파급력이 너무 크다.

이제 개인정보 보호는 단순 운영 리스크가 아니라 기업의 신뢰, 지속가능성, 그리고 시장 가치와 직결되는 핵심 경영요소가 되었다. 그럼에도 불구하고 현행 정보보호 공시제도는 기업의 실질적 보안역량을 평가하거나 비교하기에는 부족하다.

현재 기업의 정보보호 공시는 크게 두 가지 측면에서 이루어지고 있다. 그중 하나는 기업의 지속가능경영보고서에서의 공시다. 현재 이 공시의 경우는 기업의 자발적 공시로 이해관계자가 판단할 수 있는 수준의 정보는 제한적이다.

ESG 경영이 강조되는 시대에 정보보호는 사회(S)의 핵심 축임에도 국내 ESG 보고서에서 정보보호 항목은 선언적 문구나 관리체계 소개 수준에 의존하고 있다. 이는 공시제도의 목적이 ‘위험을 드러내고 시장이 평가하도록 하는 것’이 아니라, ‘규정 준수를 확인받는 것’으로 축소된 결과다.

경영의 핵심 요소가 된 개인정보 보호

회계정보는 외부감사와 금융감독원의 감리를 통해 신뢰성을 확보하지만 정보보호 공시는 기업이 작성만 하면 사실상 그대로 시장에 노출된다. 회계법인이나 감리법인이 사후검토를 수행할 법적 역할도 명확하지 않다. 결국 정보의 정확성과 비교가능성, 신뢰성은 보장되지 않는다. 이와 같은 구조에서는 시장과 국민이 공시를 신뢰하기 어렵다.

정보보호와 관련한 중요한 공시 중 하나는 한국인터넷진흥원(KISA)에서 시행하고 있는 정보보호공시의무 제도다. 이 제도는 ‘정보보호산업의 진흥에 관한 법률’을 근거로 하며 기업의 정보보호 투자규모, 전담인력, 보안 인증 취득 현황 등을 공개하도록 해 이용자가 기업의 보안 수준을 판단할 수 있도록 설계됐다.

공시대상 기업은 일정한 매출 기준 이상 또는 일정한 이용자 수 이상을 보유한 기업으로 한정되지만 그 밖의 기업도 자율적으로 참여할 수 있다. 제도의 핵심 목적은 공시를 통한 시장의 자율감시기능 강화와 기업의 보안 투자 촉진이다.

그러나 최근 3년 간 공시 현황을 살펴보면 문제점도 적지 않다. 공시 기업 수는 매년 증가하고 있으나 그중 상당수는 사전 검토 없이 기업 자체 판단으로 공시를 작성하고 있어 공시의 정확성과 신뢰성에 대한 우려가 제기되고 있다.

실제로 최근 정부가 사후 검토를 실시한 결과 다수 기업에서 수치 오류, 기준 불일치, 중복 기재 등이 발견되어 수정 공시, 즉 재공시 요구가 반복되었다.

이는 많은 기업이 공시를 단순한 규제 준수 또는 형식적 보고로 인식하고 있으며 제도의 본래 취지인 정보보호 수준 향상과는 거리감이 있음을 의미한다. 특히 자발적으로 외부 기관의 검토를 받아 투명성과 객관성을 확보한 기업과 최소한의 정보만 제출한 기업 사이의 격차도 점점 벌어지고 있다.

일부 기업은 공시를 홍보자료처럼 활용하는 반면, 많은 기업은 공시 자체를 부담으로 여기고 적정하게 관리하지 못하고 있다. 그 결과 공시제도는 소비자의 선택 판단 기준으로 자리 잡지 못하고 단순한 보고체계로 인식되는 경향이 강하다.

공시제도 실효성 중심 업그레이드 되어야

정보보호 공시는 더 이상 선택적 기업 윤리가 아니다. 반복되는 대형 사고는 기업의 자율과 책임만으로는 국민의 개인정보를 지키기 어렵다는 점을 분명히 보여주고 있다. 이제 정보보호 공시제도 역시 실효성을 중심으로 업그레이드 되어야 한다.

첫째, 의무공시 기업에는 사전 검토 또는 외부 인증 절차를 단계적으로 도입해야 한다.

둘째, 공시 항목과 정량평가 기준을 국제 기준에 맞게 표준화하고, 데이터 기반 비교가 가능하도록 지표를 정교하게 정비해야 한다.

셋째, 소비자가 공시 정보를 쉽게 확인할 수 있도록 금융감독원이나 거래소 공시 체계를 활용할 필요가 있다. 아울러 반복적 오류 기업에 대한 교육과 제재를 강화해 제도의 실효성을 높여야 한다.

윤길배 공인회계사 BDO성현회계법인 대표파트너