정부가 급증하는 해킹 위협에 대응해 정보보호 투자 내역 등을 의무적으로 공시해야 하는 대상을 모든 상장사와 공공기관, 금융사 등으로 대폭 확대한다.
과학기술정보통신부는 11일 이 같은 내용을 담은 '정보보호산업의 진흥에 관한 법률 시행령 일부개정령안'을 입법예고했다고 밝혔다. 이번 개정은 지난해 10월 발표된 '범부처 정보보호 종합대책'의 후속 조치다.
개정안에 따르면, 정보보호 공시 의무 대상이 대폭 늘어난다. 기존에는 매출액 3000억원 이상인 일부 상장사에만 적용됐지만, 앞으로는 매출액과 상관없이 유가증권시장 및 코스닥시장 모든 상장법인이 의무 대상에 포함된다. 다만 기업인수목적회사(SPAC)는 제외된다.
또한 정보보호 관리체계(ISMS) 인증을 받은 사업자도 공시 의무를 지게 된다. 일평균 이용자 수가 100만명 이상인 정보통신서비스 제공자의 경우 이용자 수 산정 기준이 '직전 3개월 평균'에서 '전년도 연평균'으로 변경돼 적용 대상의 형평성을 높였다.
특히 기존에 공시 의무에서 제외됐던 공공기관, 소기업, 금융회사, 전자금융업자 등도 모두 의무 대상에 포함된다. 정부는 이를 통해 국민의 알 권리를 보장하고 민관 전반의 정보보호 역량을 강화한다는 방침이다.
개정된 시행령은 2027년 1월 1일부터 시행될 예정이다. 다만 중소기업기본법상 소기업에 대해서는 2년간의 유예기간을 거쳐 2029년 1월 1일부터 적용된다.