배경훈 부총리 겸 과학기술정보통신부 장관이 8일 오전 서울 종로구 광화문교보빌딩 국가과학기술자문회의 대회의실에서 열린 빅테크 AI기업 사이버보안 프로젝트 관련 전문가 간담회에서 발언하고 있다. (과학기술정보통신부 제공. 재판매 및 DB 금지) 2026.5.8 © 뉴스1
정부가 기업의 정보보호 투자와 전담인력 현황을 공개하는 정보보호 공시 의무대상 확대를 추진한다. 이에 따라 그동안 정보보호 공시대상에서 제외됐던 공공기관이나 금융회사 등에 정보보호 공시 의무가 부과될 예정이다. 다만 소기업은 2년 유예해 2029년부터 공시 의무를 적용하는 방안을 반영했다.
과학기술정보통신부는 최근 정보보호산업의 진흥에 관한 법률 시행령 일부개정안을 재입법예고했다. 의견 제출 기한은 다음 달 22일까지다.
정보보호 공시는 기업의 정보보호 투자액, 전담인력, 인증 취득, 주요 정보보호 활동 등을 공개하는 제도다. 기업의 정보보호 투자를 유도하고 이용자 보호를 강화하기 위해 도입됐다.
과기정통부가 지난 8일 공개한 2026년 정보보호 공시의무 대상 693개사는 현행 시행령 기준에 따른 올해 공시 대상이다. 이들 기업은 오는 6월 30일까지 정보보호 공시 종합포털에 정보보호 현황을 제출해야 한다.
이번 재입법예고안은 이와 별개로 2027년부터 공시 의무대상 범위를 넓히기 위한 제도 개편 절차다. 개정안이 확정되면 확대 대상 기업은 2027년부터, 소기업은 2년 유예돼 2029년부터 공시 의무를 적용받는 구조다.
상장법인·ISMS 의무기업 포함 추진
개정안은 정보보호 공시 의무대상 기준 중 정보보호 최고책임자(CISO) 지정·신고 요건과 매출액 3000억 원 이상 요건을 삭제하는 내용을 담았다.
유가증권시장·코스닥시장 상장법인과 전년도 말 기준 정보보호 관리체계(ISMS) 인증 의무기업 등도 공시 의무대상에 포함하는 방향이다.
이용자 수 산정 기준도 바뀐다. 기존 직전 3개월간 일평균 이용자 수 기준을 전년도 말 기준 직전 1년간 일평균 이용자 수로 변경한다.
기존 제외 조건도 삭제한다. 현행 시행령은 공공기관, 소기업, 금융사업자, 전자금융사업자를 정보보호 공시 의무대상에서 제외하고 있는데, 개정안은 이 조항을 없애는 내용을 담았다.
다만 소기업은 준비 부담을 고려해 시행일을 2년 유예한다. 지금까지는 소기업 등이 조건에 해당해도 공시 의무에서 빠졌지만, 개정안이 시행되면 원칙적으로 공시 대상에 포함될 수 있다. 소기업은 2029년부터 적용된다.
현행 제도는 사업 분야, 매출액, 이용자 수 등을 기준으로 정보보호 공시의무 대상을 정한다. 지난 8일 공개된 올해 공시의무 대상 693개사는 이 현행 기준에 따라 선정된 기업들이다.
올해 공시의무 대상은 전년보다 27개사 늘었다. 유형별로는 매출액 3000억 원 이상 상장법인이 526개사로 가장 많았다. 회선 설비를 보유한 기간통신사업자 60개사, 인터넷데이터센터(IDC) 사업자 28개사, 상급종합병원 35개사, 인프라 기반 서비스(IaaS) 사업자 11개사, 하루평균 이용자 수 100만 명 이상 정보통신서비스 제공자 33개사도 포함됐다.
정보보호 공시의무 대상은 2022년 594개사에서 2023년 652개사, 2024년 655개사, 2025년 666개사, 올해 693개사로 늘었다.
18일 경기도 고양시 킨텍스에서 열린 제25회 세계 보안 엑스포(SECON 2026)& 제14회 전자정부 정보보호 솔루션 페어(SECON 2026)에서 관람객들이 전시 부스를 둘러보고 있다. SECON 2026은 물리보안과 사이버보안 통합한 아시아 최대 규모 전시회다. 메타버스, AI, 빅데이터 등 최신 IT 환경 변화에 따른 보안 기술과 솔루션 동향을 살펴볼 수 있다. eGISEC 2026에서는 전자정부 및 공공·민간 정보보호에 초점을 맞춘 기업의 솔루션들을 한눈에 볼 수 있다. 2026.3.18 © 뉴스1 김명섭 기자
"자료 작성 행정 부담"…소기업은 2년 유예
과기정통부는 1월 입법예고 당시 공시 의무대상 확대안을 2027년 전면 시행하는 방향으로 추진했다. 이후 중소벤처기업부와 관련 협회 등 의견수렴 과정에서 소기업의 준비 부담을 고려해야 한다는 의견이 제기됐다.
이에 따라 이번 재입법예고안에는 중소기업기본법상 소기업의 시행일을 2년 유예하는 부칙이 반영됐다. 확대 대상에 해당하더라도 소기업은 2027년이 아니라 2029년부터 공시 의무를 적용받는 방식이다.
과기정통부 관계자는 "1월 입법예고 당시에는 2027년 전면 시행을 전제로 했지만, 중기부와 관련 협회 등에서 소기업 부담을 고려해 단계적으로 시행할 필요가 있다는 의견이 있었다"며 "소기업은 2년 유예해 2029년부터 공시 의무를 적용받는 방식"이라고 설명했다.
소기업은 직원 수가 아니라 중소기업기본법과 시행령에 따른 주된 업종별 평균매출액 기준으로 판단한다.
소기업 부담은 주로 공시자료 작성 과정에서 발생하는 행정 부담이다. 정보보호 공시를 하려면 기업 내부에서 정보보호 투자액과 인력, 정보보호 활동 내용 등을 분류해 산정해야 한다. 회계·인력·보안 활동을 구분해 정리하는 작업이 필요한 셈이다.
과기정통부 관계자는 "소기업 부담은 새로운 보안투자 부담이라기보다 정보보호 투자액과 인력, 활동 내용 등을 구분해 자료를 작성하는 행정 부담"이라며 "유예 기간 교육과 가이드라인, 컨설팅 등을 통해 공시제도에 익숙해질 수 있도록 지원할 계획"이라고 말했다.
관건은 개정안 시행 이후 실제 추가 대상 규모다. 매출액 3000억 원 이상 요건이 삭제되고 상장법인·ISMS 인증 의무기업이 새로 포함되면 공시 대상 기업이 늘어날 수 있다. 다만 소기업은 2년 유예가 반영된 만큼 기업 규모별 적용 시점은 달라질 전망이다.
과기정통부는 의견수렴을 거친 뒤 법제처 심사와 국무회의 의결 등을 통해 시행령 개정을 마무리할 계획이다.
kxmxs4104@news1.kr
