earticle

영어

In the digital era, information security has emerged as a core component of corporate risk management, with recent cybersecurity incidents highlighting its critical importance. The Information Security Disclosure System was introduced to encourage voluntary corporate investments in information security and safeguard stakeholders’ right to know. This study analyzes data disclosed to the Korea Internet & Security Agency (KISA) up to 2024 to evaluate the impact of mandatory information security disclosures on corporate investments and workforce development. The results indicate an overall increase in corporate spending on information security and workforce expansion following the introduction of mandatory disclosures, with a statistically significant rise in the ratio of information security personnel. This suggests that the system has positively influenced workforce development. However, the lack of statistically significant changes in the ratio of information security investments reveals limitations in using mandatory disclosures alone to drive substantial improvements in corporate information security investments. To enhance the effectiveness of the disclosure system, this study proposes measures such as clarifying the responsibilities of corporate executives, ensuring the timely disclosure of cybersecurity incidents, and integrating information security disclosures with existing corporate disclosure systems. Drawing insights from the U.S., incorporating information security disclosures as part of non-financial reporting in corporate disclosure frameworks could improve accessibility and elevate executive awareness of information security. This study provides a strategic direction for advancing the information security disclosure system, aiming to strengthen corporate awareness, enhance the system’s efficiency, establish a trust-based digital economy, and mitigate social losses caused by large-scale data breaches.

한국어

디지털 시대에서 정보보호는 기업의 핵심 위험관리 요소로 부상하고 있으며, 최근 사이버보안 사고들은 정보보호의 중요성을 더욱 부각시키고 있다. 정보보호 공시제도는 이러한 배경에서 기 업의 자발적인 정보보호 투자와 이해관계자의 알 권리를 보장하기 위해 도입된 제도이다. 본 연 구는 2024년까지 한국인터넷진흥원에 공시된 자료를 분석하여 정보보호 공시제도 의무화가 기 업의 정보보호 투자와 인력 확보에 미친 영향을 평가하였다. 분석 결과, 공시 의무화 이후 기업들의 정보보호 투자금액과 인력 확보가 증가하는 경향이 확인되었으며, 특히 정보보호 인력비율 에서 유의미한 증가가 나타났다. 이는 정보보호 공시제도가 인력 확보 측면에서 긍정적 영향을 미쳤음을 시사한다. 그러나 정보보호 투자비율에는 통계적으로 유의미한 변화가 나타나지 않아 공시 의무화만으로는 정보보호 투자를 실질적으로 촉진하는 데 한계가 있음을 보여준다. 이에 본 연구는 공시제도의 실효성을 높이기 위한 개선 방안으로 경영진의 책임 명확화, 사이버보안 사고의 신속한 공시, 정보보호 공시와 기존 기업 공시제도의 연계 강화 등을 제안한다. 특히, 미 국의 사례처럼 정보보호 공시를 비재무적 공시 항목으로 포함시켜 기업 공시제도와 연계함으로 써 정보보호 공시의 접근성을 높이고, 경영진의 정보보호 인식을 제고할 필요가 있다. 본 연구는 정보보호 공시제도의 발전 방향을 제시함으로써 국내 기업의 정보보호 인식을 강화하고 공시제도의 실효성을 높이며, 디지털 경제 시대에 필수적인 신뢰 기반을 구축하는 데 기여할 것으로 기대된다