정보보호 공시 4대 핵심 항목 및 보안 실무 체크리스트 가이드

정보보호 공시, 무엇을 준비해야 할까?
핵심 항목부터 실무 체크리스트까지

🔎 1. 정보보호 공시 4대 핵심 항목

정보보호 공시 제도에서 요구하는 핵심 지표는 우리 회사의 보안 수준을 객관적으로 증명하는 데이터입니다. 크게 다음 네 가지 항목으로 구성됩니다.

• 정보보호 투자 현황: 전체 IT 투자액 대비 정보보호 부문에 실제 투입된 비용과 그 비율을 공시합니다.
• 정보보호 인력 현황: 전체 임직원 중 보안 전문 인력(내부 및 외주 포함)이 차지하는 인력 비중을 산출합니다.
• 정보보호 인증·평가·점검 현황: ISMS/ISMS-P, 클라우드 보안인증(CSAP) 등 국가 및 국제 인증 취득 여부를 기재합니다.
• 정보보호 활동 현황: 임직원 보안 교육, 캠페인, 취약점 분석 등 연간 보안 활동의 실적을 종합합니다.

🛠️ 2. 보안 담당자 상세 체크리스트

공시 항목은 결과일 뿐입니다. 그 과정을 채우기 위해 실무자가 반드시 챙겨야 할 단계별 체크리스트입니다.

① 법규 및 제도적 대응 (Compliance)

• CISO/CPO 지정 및 신고: 자격을 갖춘 정보보호최고책임자가 임명되어 과기정통부에 신고되었는지 점검하세요.
• 개인정보보호법 개정안 대응: 매출액 최대 10% 과징금 리스크에 대비해 파기 절차와 동의 전략을 재검토해야 합니다.
• 공시 가이드라인 숙지: KISA의 최신 가이드라인을 통해 우리 회사가 의무 대상인지 명확히 확인하십시오.

② 기술적 보안 강화 (Technical)

• 자산 식별 및 가시성 확보: 보안 투자의 근거인 IT 자산 리스트(서버, DB, 클라우드 등)를 최신화하십시오.
• 취약점 점검 및 이행: 연 1회 이상 점검을 수행하고, 조치 완료 증빙을 반드시 남겨야 합니다.
• 공급망 보안 (SCRM): 협력사 보안성 평가와 원격 접속 시 MFA(다요소 인증) 적용을 강화하십시오.

③ 운영 및 관리 체계 (Operations)

• 보안 예산의 독립성: 정보보호 투자가 일반 IT 예산과 섞이지 않도록 별도 항목으로 트래킹하십시오.
• 사고 대응 매뉴얼(IRP): 시나리오별 절차를 수립하고 실제 모의 훈련을 실시하여 숙달해야 합니다.
• 증빙 자료 아카이빙: 교육 명단, 보안 서약서 등 모든 자료를 디지털 자산화하여 관리하는 것이 핵심입니다.

④ 기업 가치 및 ESG 연계 (Strategy)

• ESG 평가지표 반영: 보안 사고는 ESG 등급 하락의 주요 원인입니다. 보안 KPI를 수립하여 이사회에 정기 보고하십시오.
• 보안 인식 제고: 형식적인 교육 대신 피싱 메일 모의 훈련 등으로 실질적인 활동 실적을 만드십시오.

📅 3. 2026년 실적 준비 타임라인

2027년 공시를 차질 없이 진행하기 위한 연간 실행 계획입니다.

시기	주요 과업
2025년 하반기	공시 준비 예산 확보, 보안 솔루션 도입 검토, 자산 전수조사
2026년 상반기	보안 교육 및 정기 취약점 점검 실시, 투자 현황 중간 점검
2026년 하반기	모의 해킹 및 사고 대응 훈련 수행, 보안 투자 집행 완료
2027년 초	2026년 데이터 취합/검증 및 정보보호 공시 시스템 입력

💡 보안 담당자를 위한 실무 팁:
"공시는 단순히 외부에 보여주기 위한 숙제가 아닙니다. 오히려 보안 예산을 확보하고 경영진의 관심을 끌어낼 수 있는 가장 강력한 무기입니다. '과징금 10%'와 'ESG 등급'이라는 키워드를 활용해 필요한 투자를 적극적으로 요청하세요."