[리스크 콕] 정보보호 '공시' 제도 개편…상장사 재무·법률·평판 리스크

크리덴셜 스쿠핑(Credential Scooping)은 해커가 사용자의 계정 정보를 수집해 무단으로 로그인하거나 기업 시스템에 침입하는 수법을 의미한다. / 뤼튼

정부가 정보보호 공시 의무 대상을 모든 상장사로 확대하면서, 기업 경영 전반에 걸친 새로운 리스크 관리 과제가 부상하고 있다. 보안사고 발생 여부와 정보보호 투자 현황을 공개하도록 한 정부의 제도 개편은 이용자 보호와 시장 투명성 제고라는 정책 목표를 담았다. 하지만, 기업 입장에서는 재무·법률·평판 측면의 부담이 동시에 확대될 수 있다는 지적이 나온다.

가장 직접적인 리스크는 ‘평판 리스크’다. 정보보호 공시는 단순한 사고 유무 공개를 넘어 보안 인력 규모, 투자 금액, 사고 대응 체계 등을 포함한다. 해킹이나 정보 유출 사고가 공시될 경우, 사고의 경중과 무관하게 기업의 보안 역량이 부족하다는 인식이 확산될 수 있다. 특히 소비자 대상 기업이나 플랫폼 사업자의 경우 이용자 신뢰 하락이 매출 감소로 직결될 가능성도 배제할 수 없다.

주가 변동성과 투자자 리스크도 커진다. 보안사고 공시는 공시 즉시 시장에 반영되며, 단기적으로 주가 하락이나 변동성 확대를 유발할 수 있다. 실제로 글로벌 시장에서는 사이버 사고 공시 이후 주가가 급락한 사례가 반복돼 왔다. 국내 상장사 역시 정보보호 공시가 새로운 투자 판단 지표로 활용될 경우, 보안 수준이 상대적으로 낮은 기업은 자본시장 평가에서 불리한 위치에 놓일 수 있다.

법적·규제 리스크 역시 무시하기 어렵다. 공시 내용이 사후 조사나 감독의 근거 자료로 활용될 가능성이 높기 때문이다. 공시된 정보와 실제 보안 운영 실태가 불일치할 경우 허위·부실 공시 논란으로 이어질 수 있으며, 이는 과징금이나 제재로 연결될 소지가 있다. 특히 중소형 상장사의 경우 전문 인력과 내부 통제 체계가 충분하지 않아 공시 정확성 자체가 새로운 부담으로 작용할 수 있다.

비용 부담도 현실적인 문제다. 공시 의무 확대는 곧 정보보호 투자 확대 압력으로 이어진다. 보안 인력 충원, 시스템 고도화, 외부 컨설팅 비용 등이 추가로 발생할 수밖에 없다. 대기업에 비해 재무 여력이 제한적인 기업일수록 보안 투자와 단기 수익성 간의 균형을 맞추는 데 어려움을 겪을 가능성이 크다.

일각에서는 단순한 규제 리스크로만 보지 말아야 한다는 평가도 나온다. 정보보호 공시는 기업의 리스크 관리 수준을 구조적으로 점검하는 계기가 될 수 있으며, 중장기적으로는 보안 역량이 기업 가치의 핵심 요소로 재평가 받는다는 것이다.

어찌됐든 정부는 해커의 무차별적인 공격에 대응하기 위해 규제 강화라는 강공을 펼친다. 기업은 이를 피해갈 도리가 없다. 다양한 부담을 줄일 수 있는 방법은 없다. 차라리 이 기회에 기업이 가진 강점이 무엇인지 고객들에 보여주는 것이 최선이다. 법 시행전 철저히 준비해 리스크에서 벗어날 수 있어야 할 것이다.