검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안 공시'통합검색 결과 입니다. (4건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"코스피 846곳·코스닥 1827곳 보안 공시 의무화"...시행령 개정안 입법예고

과기정통부가 '정보보호산업의 진흥에 관한 법률(이하 정보보호산업법) 시행령' 개정안을 이번달 9일부터 다음달 19일까지 40일간 입법예고한다. 이 개정안은 국가 전반의 정보보호 역량 강화와 이용자 보호를 위해 정보보호 공시 의무 대상자를 확대했다. 최근 전방위적 해킹사고로 인한 국민 불안을 신속히 극복하고, 국가의 정보보호 역량 강화를 위해 지난 10월 관계부처 합동으로 발표한 '범부처 정보보호 종합대책'의 후속조치 중 하나다. 정보보호 공시 제도 사각지대를 해소하고, 상장사 등 사회적 영향력이 높은 기업의 정보보호 책임을 강화하기 위해 마련됐다. 개정안의 주요 내용은 첫째, 기존 상장기업에 적용하던 '매출액 3000억 이상' 조건을 삭제해 유가증권시장(KOSPI)과 코스닥시장(KOSDAQ) 상장 법인 전체로 공시 의무를 확대했다. 한국거래소에 따르면 코스피(KOSPI) 상장회사수는 846개, 코스닥(KOSDAQ) 상장회사수는 1827개에 달한다. 둘째, 정보보호 관리체계(ISMS) 인증 의무 기업을 공시 의무대상에 새로 포함했다. 셋째, 그동안 의무대상에서 제외한 공공기관, 금융회사, 소기업, 전자금융업자에 대한 예외 조항을 삭제, 제도 적용 형평성을 높였다. 이번 정보보호산업법 시행령 개정안 전문은 과기정통부 누리집(www.msit.go.kr) 내 '입법/행정예고' 게시판에서 확인할 수 있다. 국민참여입법센터(http://opinion.lawmaking.go.kr)를 통해 의견을 제출할 수 있다. 과기정통부는 입법예고 기간 동안 공청회 등을 통해 기업 및 전문가 등의 이해관계자 및 국민들의 의견을 충분히 수렴한 후, 관계부처 협의, 법제처 심사 등 후속 절차를 2027년 정보보호 공시 대상자부터 적용될 수 있도록 진행할 예정이다. 아울러, 제도 시행 시 신규 편입하는 대상자(기업·기관) 등의 부담을 완화하기 위해 공시 가이드라인 배포, 맞춤형 컨설팅 및 교육 지원 등을 병행할 계획이다. 과기정통부 최우혁 네트워크정책실장은 “정보보호 공시는 기업이 사회적 책무를 이행하는 핵심 수단”이라며 “이번 제도 개선으로 기존보다 늘어난 기업들의 정보보호 현황을 확인할 수 있게 돼 국민의 알 권리가 제고되고, 기업의 자발적인 보안 투자 확대를 유도해 우리 사회 전반의 정보보호 수준을 한 단계 끌어올리는 계기가 될 것"이라고 밝혔다.

2026.01.09 12:00방은주

"규제 준수는 최소기준"…LGU+, 글로벌 톱 수준 보안 정조준

LG유플러스가 보안 수준을 높이기 위한 핵심 키워드로 '자발적 강화'를 내세웠다. 단순히 규제를 준수하는 데 그치지 않고, 글로벌 수준의 보안 체계를 갖추기 위해 국내외 보안 기업, 제조사, 통신사들과의 협력을 확대한다. 홍관희 LG유플러스 정보보안센터장은 29일 기자간담회에서 “컴플라이언스는 최소한의 기준일 뿐”이라며 “진짜 보안은 자발적으로 수준을 높이고, 타사와의 협력을 통해 생태계를 확장해가는 과정에 있다”고 밝혔다. LG유플러스는 글로벌 수준의 보안 체계를 갖추기 위해 국내외 협력을 이어오고 있다. 지난해에는 외국계 보안 컨설팅사와 6개월간 내부 분석 및 전략 설계를 진행했다. 올해는 한국인터넷진흥원(KISA)의 제로트러스트 컨설팅 프로그램을 신청했으며, 약 한 달간 진행될 예정이다. 또한 CMM(Capability Maturity Model) 기반의 자체 성숙도 평가를 통해 2027년까지 글로벌 평균 이상 수준 달성을 목표로 하고 있다. 보안 체계의 실질적인 실행력을 높이기 위한 움직임도 병행된다. LG유플러스는 지난해부터 보안 KPI를 도입해 조직 전반에 적용하고 있으며, 올해는 그 범위를 확대 중이다. 단순히 보안 전담조직을 CEO 직속으로 격상하는 데 그치지 않고, 이사회 정기 보고, CEO 주재 보안 회의 등 구조적 내재화를 추진 중이다. 홍 전무는 “보안 조직을 CEO 직속으로 두는 것만으로는 충분하지 않다"며 "2024년부터 보안 KPI를 반영했고, LG유플러스의 모든 보안 조직에 일정 비율로 적용하고 있다"고 설명했다. 이어 그는 "단순히 조직 차원의 문제가 아니라 KPI, 이사회 보고, 여러 체계들이 함께 움직여야 진짜 보안 역량 강화라고 생각한다"고 덧붙였다. 보안 투자 공시 제도에 대한 개선 필요성도 제기했다. 현재는 연간 총투자액만 공개되는 수준으로, 실효성 있는 정보 제공이 어렵다는 설명이다. 홍 전무는 “공시 제도는 지금 기업이 작년에 얼마 썼다 정도에서 끝난다”며 “어느 영역에 얼마를 썼는지, 그것이 보안 투자에 해당하는지 아닌지조차 명확하지 않다”고 말했다. 이어 “공시를 강화하려면 '투자 항목별 내역 공개'와 '보안 투자 판단 기준'이 함께 마련돼야 한다”며, 규제기관과의 지속적인 협의를 통해 공시 제도 개선이 필요하다는 입장을 밝혔다.

2025.07.29 12:55진성우

보안 상장사들 연구개발 비용 얼마나?···매출비 0.8%~39% 큰 차이

코스닥시장에 상장한 한국정보보호산업협회(KISIA) 임원사 가운데 매출액 대비 연구개발(R&D)비 비중이 가장 높은 곳은 시큐브로 나타났다. 시큐브는 정보보호, 모바일 인증, 생체인증 전문 기업이다. 서버보안(시큐어OS) 분야 선발기업으로 '시큐브 토스'라는 솔루션을 개발, 출시했다. 2011년 12월 코스닥 시장에 상장했다. 지난해 매출 2600억 원대를 기록한 보안 강자 안랩도 27.4%로 매출 대비 연구개발비 비중이 높았다. 모니터랩도 이 비중이 20%가 넘었다. 반면 제일 적은 곳은 1%가 채 안됐다. 27일 지디넷코리아가 금융감독원 전자공시시스템에 올라온 KISIA 임원사들의 매출액 대비 연구개발비를 조사한 결과 1%가 안되는 곳에서부터 39%까지 큰 격차가 났다. 시큐브, 안랩, 모니터랩 3사가 20% 이상을 보이며 1~3위를 기록했다. 휴네시온, 지란지교시큐리티, 지니언스, 파이오링크, 파수, 라온시큐어 등도 15~19%를 보이며 연구개발비 투자 상위 보안 기업에 속했다. 이스트소프트는 28억원을 지난해 연구개발비로 소비했다. 매출액과 비교하면 2.72%다. 이스트소프트 관계자는 “해마다 연구개발비를 비슷한 수준으로 유지하고 있다”며 “지난해만 적다고 얘기하기 어렵다”고 말했다. 이글루코퍼레이션은 64억원을 연구개발에 썼다. 지난해 매출액의 5.72%에 해당한다. 이글루 관계자는 “최근 5년 동안 매출액 대비 연구개발 비중은 평균 6%”라며 “꾸준히 50억원 이상 투자해 회사 창립부터 특허 100여개를 취득했다”고 설명했다. 그러면서 “여느 회사와 달리 기술직 비용을 연구개발비로 포함하지 않아 다른 업체보다 적어 보인다”며 “이글루 직원 1천명 중 연구직은 8%이지만 기술직은 80%가 넘는다”고 덧붙였다. 엑스게이트 연구개발비는 39억원, 매출액 대비 연구개발비 비중은 8.9%다. 엑스게이트 관계자는 “하드웨어 원재료 매입 비용과 소프트웨어 연구개발로 나뉘어 연구개발비 비중이 낮아 보이는 것”이라고 설명했다. 기업마다 연구개발비를 산정하는 기준이 달라 성적표도 다르게 보일 수 있다는 뜻이다. 이들 회사는 예년처럼 연구개발에 투자했다는 입장이다. 보안 분야 A 교수는 "우리나라 보안기업들이 해외 시장에 진출하려면 결국 품질이 좋아야 한다"면서 "품질은 연구개발과 밀접한 관계가 있으니 국내 보안소프트웨어 기업들이 연구개발에 보다 신경썼으면 한다"고 밝혔다.

2025.04.27 12:22유혜진

[보안리더] 지정호 토스 CISO "강력 보안, 편한 금융"

토스 목표는 '보안은 강력하고, 사용은 편리하게'입니다. 토스는 정보보호선언문도 발표했어요. 첫줄에 '토스는 편리하고 안전한 토스 서비스를 제공하기 위해 정보 보호에 최선을 다할 것이다'라고 썼습니다. 안전하면서도 편리한 것은 상충하기에 사실 힘들어요. 그래서 토스는 보안 위협을 평가하고 그 수준에 맞춰 자동 대응하려고 노력한답니다. 지정호 토스(운영사 비바리퍼블리카) 정보보호최고책임자(CISO)는 지난주 서울 강남구 토스 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 지 CISO는 “금융 혁신을 목적으로 삼은 핀테크 회사가 세계 최고 보안팀을 만든다고 해서 2017년 토스에 입사했다”며 “자율 근무 같은 수평적인 기업 문화도 궁금했다”고 말했다. 컴퓨터 학도가 금융사에서 일하는 이유다. 핀테크 업체가 살아남는 비결이기도 하다. 핀테크(FinTech)는 금융(Finance)과 기술(Technology)의 합성어다. 토스는 개인정보보호책임자(CPO)와 CISO를 따로 두고 있다. CISO는 회사 전반 정보 보호를 책임지고, CPO는 그 중에서도 개인정보 보호를 맡는다. 토스 CISO 조직에 CPO 조직이 속했다. 지 CISO는 “토스는 전자금융 거래 매출 비중이 큰 전자금융업자”라며 “'겸직 금지를 예외로 해달라' 신청할 수 있었으나 보안 수준을 높이고자 CISO와 CPO를 각각 뒀다”고 강조했다. 지 CISO는 토스가 앞장선 정보 보호 사례를 여럿 언급했다. “2018년 업계에서 처음으로 정보 보호 공시 제도에 참여했다”며 “비교적 많이 투자한다”고 말했다. 토스는 2023년 정보 보호에 125억6천만원 투자했다. 전체 투자액의 10.5%를 정보 보호에 썼다. 토스 보안 인력은 45명으로, 이 또한 10.3%다. 토스는 2021년 정보 보호 공시 우수 기업으로 뽑혔다. ▲2020년 5월 앱 보안 솔루션 '토스가드' ▲2020년 7월 '토스 안심 보상제' ▲2020년 10월 사기 의심 계좌 알림 ▲2022년 3월 '피싱 제로' ▲2023년 토스 보안 설명회 '가디언스' 개최 등도 토스가 금융권에서 최초로 한 일로 꼽았다. 지 CISO는 국내 정보보호 기업 AI스페라가 지난달 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 연 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 설명회'에서도 “사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려준다”며 “첫 피해자는 못 막더라도 두 번째부터는 막아야 한다”고 소개한 바 있다. 온라인 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다는 이야기도 전했다. 피싱 제로는 피싱에 쓰는 악성 앱이 휴대전화에 있다면 토스를 실행했을 때 알려 지우도록 돕는 서비스다. 토스 가디언스는 다른 회사 보안 담당자에게 토스 보안 성과와 요령을 알리는 행사다. 올해 3회째로, 지난해보다 많은 사람을 하반기 부르기로 했다. 토스는 보안 취약점을 신고한 사람에게 상을 주는 버그 바운티(Bug Bounty)도 2022년부터 시행하고 있다. 지 CISO는 “비교할 수 없을 만큼 안전한 금융을 만들겠다는 다짐”이라며 “누구나 토스 서비스와 홈페이지뿐만 아니라 토스 계열사 홈페이지 보안 취약점을 제보하면 위협 수준에 따라 한 건에 3천만원까지 준다”고 설명했다. 지 CISO는 정보 보호 전문 기업과 게임·엔터테인먼트 업체를 거쳐 토스에서 일하고 있다. 그는 “정보 보호 기업에서 새로운 보안법을 연구해 국가 사이버 안보에 기여한다는 보람을 느꼈다”며 “이제는 회사 자산과 소비자를 지키는 성취감을 얻는다”고 웃었다. 아래는 지정호 토스 CISO 주요 경력. 2021 고려대 금융보안학과 석사 2006.02~2007.04 엘림넷 정보기술(IT) 부문 2007.04~2010.12 아프리카티비 보안 부문 2011.01~2015.06 윈스 보안 부문 2015.06~2017.06 넥슨코리아 보안 부문 2017.06~2021.02 비바리퍼블리카 보안 부문 2021.03~2024.12 토스증권 CISO 2024.12~현재 비바리퍼블리카 CISO

2025.04.09 15:42유혜진