상세 컨텐츠

본문 제목

정보보호 공시제도 - 정보보호 수준을 공개해 신뢰를 높이는 제도

본문

기업이 정보보호 수준과 관리 현황을 대외적으로 공개하여 고객·투자자 등 이해관계자의 신뢰를 확보하고, 정보보호 투명성을 제고하는 제도

 

 

목차
   ­ㄴ 정보보호 공시제도란?
   ㄴ 도입 배경 및 목적
   ㄴ 법적 대상과 제외 대상
   ㄴ 정보보호 공시 항목 및 이행 기한

   ㄴ 공시 신청 및 현황 조회 방법
   ㄴ 대한민국 산업별 공시 현황 (2025 기준)
   ㄴ 금융회사(보험사 중심) 공시 현황
   ㄴ 금융업권별 비교 (보험사 vs 은행 vs 증권사)
   ㄴ 기업 관점의 대응 전략
   ㄴ 법적·규제적 고려사항
   ㄴ 실무자를 위한 공시 준비 가이드
   ㄴ 대응 절차 정립(예시 시나리오)
   ㄴ 활용 가능한 보안 관리체계 및 솔루션
   ㄴ 기타 (용어 정리, 참고자료)

 

■ 정보보호 공시제도란?   

  정보보호 공시제도는 기업이 보유한 정보보호 체계, 투자 현황, 인력, 보안 정책, 인증, 사고 대응 내역을 외부 이해관계자에게 공개하는 제도입니다. 기업의 보안 성숙도를 객관적으로 보여주며, 고객·투자자 신뢰를 확보하고, 기업 스스로 보안 체계를 점검·개선하는 효과가 있습니다.

 

도입 배경 및 목적   

  • 사고 예방: 개인정보 유출·랜섬웨어 공격 등 대형 보안사고 방지
  • 투명성 확보: 기업 보안 수준을 수치로 공개하여 고객 신뢰 강화
  • 경쟁력 강화: 보안 투자 기업은 ESG·투자 평가에 긍정적 반영
  • 자율 보안 촉진: 규제 준수 중심에서, 스스로 체계적인 보안 투자 유도
 

■  법적 대상과 제외 대상   

 1. 자율공시 대상

  • 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는자
    ※ 포털, 쇼핑몰, 인터넷뱅킹, 유·무선통신서비스 등 정보통신망을 통하여 사업 활동을 하는 영리·비영리 업체 모두 포함

 2. 의무공시 대상

  • 기간통신사업자(ISP) : 「전기통신사업법」제6조제1항
  • 집적정보통신시설(IDC) 운영자 : 「정보통신망법」제46조
  • 상급종합병원 : 「의료법」제3조의4
  • 클라우드 서비스 제공자 : 「클라우드컴퓨팅법」시행령 제3조제1호
  • 상장사 중 매출액 3,000억 원 이상 & CISO 지정·신고 기업 : 정보보호 최고책임자(CISO)* 지정·신고하여야 하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 이상
  • 일평균 이용자 100만 명 이상 서비스 제공 기업 : 정보통신서비스 일일평균 이용자 수**100만명 이상(전년도말 직전 3개월간)
        ※ 미이행 시 1천만 원 이하 과태료 부과

 3. 제외 대상

  • 공공기관 : 공공기관운영법
  • 소기업 : 중소기업기본법 시행령 제8조제1항
  • 금융회사(단, 별도 전자금융감독규정 공시 준수) : 전자금융거래법 제2조제3
  • 주 업종이 통신/도소매업이 아닌 일부 전자금융업자 : 전자금융거래법 제2조제4호, 한국표준산업분류

정보보호 공시 항목 및 이행 기한   

   1. 공시항목 : 「정보보호 공시에 관한 고시」 [별표 3] 정보보호 공시내용 양식에 따라 정보보호 투자 현황, 정보보호 인력 현황 등 4가지 항목별로 내용을 기재

  • 정보보호 투자 현황(정보기술부문 투자액, 정보보호부문 투자액, 비중 등)
  • 정보보호 인력 현황(정보기술부문 인력, 정보보호부문 전담인력, 비중 등)
  • 정보보호 관련 인증, 평가, 점검 등에 관한 사항
  • 정보보호를 위한 활동 현황
    ※ 「정보보호산업의 진흥에 관한 법률 시행령」 제8조

   2. 이행기한 : 정보보호 공시를 하려는 자는 매년 6월 30일까지 정보보호 현황을 정보보호 공시 종합포털(isds.kisa.or.kr) 에 등록(자율·의무공시 모두 해당)
   3. 과태료 :  의무공시 대상 기업이 공시를 이행하지 않을 경우, 최대 1천만원 이하의 과태료 부과

정보보호 공시 이행 혜택   

   1. 정보보호 관리체계(ISMS) 인증 수수료 30% 할인

  • 대상 : 자율공시 기업
  • 조건 : 정보보호 현황을 공시한 경우, 공시 시점부터 1년 이내
       - ISMS 최초 인증
       - ISMS 갱신
       - ISMS 사후 인증
  • 적용 : 인증심사 수수료의 30% 할인

   2. 정보보호 투자 우수기업 표기(왕관 모양 아이콘)

  • 대상 : 자율공시 또는 의무공시 기업 모두 해당
  • 기준 : 공시 이행 시, 정보보호 투자 확대 여부 등을 고려해 정보보호 투자 우수기업으로 표기

   3. 정보보호 공시 우수기업 표창

  • 대상 : 공시 이행 기업 중
  • 기준 : 정보보호 현황(투자액, 인력, 점검, 활동 등) 개선 정도, 공시의 연속성 등
  • 혜택 : 과학기술정보통신부 장관 표창 수여

   4. 기업 홍보 및 신뢰도 제고

  • 기업 측면
     - 자사의 정보보호 현황을 객관적으로 파악
     - 법적 근거에 기반하여 보안 투자 수준을 외부에 홍보
  • 이용자·국민 측면
     - 정보보호 수준을 간접적으로 파악
     - 신뢰 가능한 기업 선택 가능

   5. KISA 지원 사업 가점 부여

  • KISA에서 발주하는 일부 지원 사업에 공시 이행기업 가점 부여
  • KISA 입찰공고 링크(https://www.kisa.or.kr/403)


공시 신청 및 현황 조회 방법   

  • 신청: KISA 정보보호 공시 종합포털(ISDS)에서 온라인 제출
  • 서류
    - 사전점검 수행: 사전점검확인서 + 공시양식
    - 사전점검 미수행: 공시양식 + 사후검증 동의서
  • 기한: 매년 6월 30일까지
  • 조회
    - ISDS 포털 내 “공시현황” 메뉴에서 연도별·기업별 검색 가능
    - 제출 현황, 투자액, 인력, 인증 내역 확인
 

대한민국 산업별 공시 현황 (2025 기준)   

  • 기업 수 추이
    - 2022년: 658개
    - 2023년: 715개
    - 2024년: 746개
    - 2025년: 773개
  • 보안 투자액 총합(2024년 기준): 약 2조 1천억 원 (전년 대비 +15.7%)
  • 전담 인력 수: 7,681명 (전년 대비 +13.9%)
  • 업종별 평균 보안 투자액
    - 금융업: 76억 원
    - 정보통신업: 59억 원
    - 도·소매업: 27억 원
  • 업종별 전담 인력
    - 정보통신업: 평균 24.7명
    - 금융업: 평균 21명
    - 도·소매업: 평균 9명

    ※ 정보보호 공시현황 바로가기 :  https://isds.kisa.or.kr/kr/publish/list.do?menuNo=204942

2016_2025_정보보호_공시_이행_기업리스트.xlsx
0.93MB

 

금융회사(보험사 중심) 공시 현황   

  금융회사는 전자금융감독규정에 따라 별도의 공시 의무가 있으며, KISA 공시와 금융감독원 공시를 동시에 관리합니다.

 1. 금융권 전체 특징

  • 평균 보안 투자액: 76억 원 (전 업종 중 최고 수준)
  • 전담 인력: 평균 21명
  • 주요 공시 항목: 랜섬웨어, 피싱 사고, 내부자 오용

 2. 보험사 특화 현황

  • 투자 규모: 대형 보험사 40~100억 원 이상 투자, 중소형은 10억 원 미만
  • 인력 규모
    - 대형 보험사: 15~30명
    - 중소형 보험사: 3~5명
  • 특징
    - 건강·손해율 데이터 포함 → ISMS-P 인증 필수
    - GA(법인대리점) 계정 관리 취약 → 공시 항목 중 중요
    - 인슈어테크·클라우드 기반 서비스 확산 → 신규 공시 항목 증가

 3. 실제 사례

  • 삼성생명: 보안 투자 80억 원 이상, ISMS-P 유지, 전담 인력 25명 이상
  • 한화손보: 클라우드 기반 시스템 도입, 개인정보 보호 대책 공시
  • 교보생명: 보안 교육, 모의해킹 내역 공시
  • 중소형 보험사: ISMS 단일 인증, 인력 3~5명 수준

■ 금융업권별 비교 (보험사 vs 은행 vs 증권사)   

구분 보험 은행 증권
평균 보안 투자액 40억~60억 원 (대형사 100억 이상) 100억~150억 원 30억~50억 원
전담 인력 규모 대형: 1530명, 중소형: 35명 40~80명 (시중은행 중심) 10~20명
주요 공시 특징 - ISMS-P 필수- GA(법인대리점) 계정 관리 중요- 헬스케어/인슈어테크 기반 클라우드 사용 확대 - 대규모 고객 DB 중심- 전사적 SIEM·FDS 운영- 글로벌 규제 영향 - MTS·HTS 보안 중심- API·모바일 인증 강화- 클라우드 기반 시스템 증가
규제 연계 전자금융감독규정 + KISA 공시 전자금융감독규정 + KISA 공시 전자금융감독규정 + KISA 공시
실무 시사점 민감정보 보호 및 GA 관리 강화 필요 업계 최고 수준 투자·인력으로 표준 주도 상대적 투자·인력 적음, 인프라 확장 시 보안 리스크 주의


■  기업 관점의 대응 전략   

  1. 보안 지표(투자·인력·사고 내역) 정확 관리
  2. ISMS/ISMS-P 인증 연계 데이터 활용
  3. 사고 은폐보다 투명 공개로 신뢰 확보
  4. CISO 보고를 이사회 안건으로 상정

■  법적·규제적 고려사항   

  • 정보통신망법 제47조의3: 정보보호 공시 의무
  • 전자금융감독규정 제14조: 금융회사 공시 의무
  • 감독기관: 개인정보보호위원회, KISA, 금융감독원

■  법적·규제적 고려사항   

항목 체크 포인트
인력·조직 CISO 지정, 전담 인력 규모
보안 예산 투자액, IT 예산 대비 비율
인증 체계 ISMS/ISMS-P 보유 여부
사고 현황 건수 및 대응 결과
교육 실적 전사 교육 횟수, 참여율
대외보고 홈페이지·포털 등록 여부


■  대응 절차 정립 (예시 시나리오)   

  1. 연간 보안 지표 수집
  2. 내부 검증 및 CISO 승인
  3. 경영진 보고 후 공시 문서 확정
  4. 포털 및 홈페이지 등록
  5. 사후 점검 및 감사 대응

  ■  활용 가능한 보안 관리체계 및 솔루션   

  • ISMS/ISMS-P 인증: 기본 준수 지표 확보
  • GRC 플랫폼: 보안 지표 관리 자동화
  • MSSP: 사고 발생 시 신속 대응
  • DLP/DRM 솔루션: 개인정보 보호·유출 차단

  ■  기타   

 1. 용어 정리

  • CISO: Chief Information Security Officer
  • ISMS: 정보보호 관리체계
  • ISMS-P: 개인정보보호 인증 포함
  • ISDS: KISA 정보보호 공시 종합포털

 2. 참고자료

  • KISA 정보보호 공시 종합 포털(ISDS)
  • 과기정통부 「2024 정보보호 공시 분석 보고서」
  • 금융감독원 「전자금융감독규정 해설서(2025 개정판)」

감사합니다.

관련글 더보기