올 들어 통신·금융사들의 잇따른 정보유출 사고로 디지털리스크 관리의 중요성이 커지면서 민관이 함께 환경·사회·지배구조(ESG) 경영의 대응책 마련에 나서고 있다.
최근 발생한 개인정보 유출과 같은 디지털리스크가 정보유출에 따른 배상 등의 따른 실질적 손실은 물론 기업의 신뢰도와 주가 급락 등 밸류업(기업가체 제고)에도 막대한 영향을 끼치는 ‘디지털 중대재해’로 그 중요성이 부상하고 있어서다.
예를 들어 5만원 중반선을 유지하던 SK텔레콤은 지난 4월 유심 해킹사고가 터진 이후 현재 5만원 초중반 선으로 내려왔고, 마찬가지로 5만원 중후반대를 유지하던 KT도 8월 무단 릴게임5만 소액결제 피해 소식이 전해지면서 4만원대까지 주저앉았다가 최근에야 간신히 5만원 선을 회복했다. 코스피가 4000선을 돌파한 흐름과 대비된다.
이 와중에 인공지능(AI) 전환 가속화와 기술의 발전은 디지털보안의 중요성을 한층 더 부각시키고 있다. 정부 차원에서도 디지털리스크를 막기 위한 제도적 논의가 필요한 시점이다.
전 바다이야기합법 문가들은 정부와 기업이 쌓는 ‘디지털 신뢰’가 국가 경쟁력과 직결되고, 기업의 지속가능성을 이어갈 수 있는 원동력이라고 입을 모은다.
특히 각 기업별 각개격파가 아닌 민관 협력을 기반으로 AI 등의 첨단 기술 접목과 보안 정책 정비 등 지속가능한 ESG경영 체제를 구축해야 한다는 제언이 나온다.


바다이야기2
◇디지털리스크 없이 ESG 없다… ‘감’ 아닌 ‘사실 기반’ 대응
디지털리스크가 ESG경영의 핵심으로 부각되는 것은 시장의 흐름과 밀접한 관련이 있다. 예를 들어 통신·금융·공공 등에서 대형 정보유출이나 장애가 반복적으로 발생하면서 이를 최소화하기 위해 관련 공시나 거버넌스 의무가 강화되고 국제 표준의 야마토게임 정합성이 요구되고 있다.
즉 디지털리스크가 ESG 핵심 요소인 측정→공시→책임으로 수렴되는 방향으로 흘러가고 있다는 것이다. 이런 상황에서 디지털리스크가 취약할 경우 재무적인 측면에서 시작해 거버넌스와 사회적 측면까지 치명적인 결과를 낳을 수 있다는 지적이 나온다.
류영재 서스틴베스트 대표는 “디지털리스크 관리에 실패하 온라인릴게임 면 과징금·소송·보상 등에 투하자본이익률(ROIC)이 낮아지고 자본비용이 높아진다. 이는 이사회 감독 책임이 훼손돼 주가가 디스카운트 될 수 있다”며 “사회적으로는 신뢰 저하로 고객이 이탈, 매출 기반이 훼손될 수 있어 디지털전환(DX)·인공지능 전환(AX) 전략에 차질이 생길 수 있다”고 진단했다.
디지털리스크 대비를 위해서는 최근 AI 흐름에 발맞춰 이러한 혁신 기능을 도입해야 한다는 제언이 나온다. 데이터 기반의 의사 결정으로 ‘감’(感)이 아닌 ‘사실 기반’ 전략의 ESG경영이 필요하다는 조언이다.
예를 들어 AI 기반 텍스트 마이닝, 자연어처리, 네트워크 분석 등으로 이해관계자그룹간 연관성과 영향력을 AI 네트워크로 시각화하고 ESG 관련 데이터 수집이나 관리에도 사물인터넷(IoT), 로봇자동화솔루션(RPA), 클라우드, 블록체인 등의 기술을 활용할 필요성이 제기된다.디지털리스크 경각심을 고취하기 위한 대내외 캠페인에서도 메타버스, AI 챗봇, 증강(AR)·가상(VR)현실 등의 도구를 이용할 수도 있다.
이지환 카이스트 경영공학부 교수는 “AI 검증 알고리즘이나 자동 데이터 정합성 검사, 디지털 트윈 등으로 ESG 활동의 정확도를 제고할 수 있다”며 “위협에 대한 대응력을 높이는 것은 물론 시나리로 기반의 의사결정 툴을 통해 환경규제 변화, 공급망 충격 등의 대응 전략을 수립할 수 있다”고 말했다.
이어 “데이터센터 에너지 보안통합 설계를 통해 지속가능한 인프라 보안을 갖출 수 있을 것”이라고 덧붙였다.
◇기업들도 디지털보안 거버넌스 강화 나서
기업들도 이러한 상황을 인식하고 다각도로 디지털리스크 대비를 위한 거버넌스 체제를 갖추고 있다.
주요 대기업들은 최고프라이버시책임자(CPO), 정보보호센터장이 최고정보보안책임자(CISO) 등으로 구성된 보안 컨트롤 타워를 구축하고, 디지털 보안에서 거버넌스 강화와 공급망 상생 구조를 강화하고 있다.
SK하이닉스, LG전자 등은 디지털 보안을 ESG경영에서 사회(S)가 아닌 거버넌스(G)로 편제시켰다.
특히 국내 수출 산업의 핵심인 반도체 부문의 경우 삼성전자는 국가핵심기술 보안 관리 지침을 별도로 수립하고 임원급 관리 책임자를 지정했다. 이들은 기술적 보안 조치를 검토하면서 국가핵심기술 처리 과정과 보호 조치를 최종 승인하는 역할을 맡는다.
SK하이닉스는 CISO인 산업보안담당 임원을 중심으로 보안 인프라와 관리 체계를 통제하고 있으며, 산업보안협의체를 통해 해외 법인을 포함한 전사 통합 보안 관제 등 산업보안 활동을 추진하고 있다.
현대자동차는 지난 6월 새로운 정보보안 정책을 운영하고 있으며 정보보안 준수 의무와 외부 협업 보안, 정보보안 사고 대응·예방과 함께 데이터 무결성·보호 등의 내용을 포함시켰다.
데이터베이스 보안은 사용자가 직접 접근할 수 없도록 통제하고, 데이터베이스간 또는 데이터파일 공유는 원칙적으로 금지하는 것을 골자로 한다. 로그는 제3의 장소에 백업하고 안전하게 관리하도록 하는 내용도 담고 있다.
LG전자는 제품 기획·설계, 개발, 생산, 유통, 마케팅, 고객지원 등 전 과정에 걸쳐 보안이 내재화되도록 통합 전략을 수립했다. 2022년부터는 협력사와 워크숍을 통해 핵심기술 보호에 힘을 기울이고 있다. LG전자는 자체 개발한 사이버보안 진단도구 ‘불독’(VulDOC)과 오픈소스 관리도구 ‘포스라이트’(FOSSLight)를 최근 서울 마곡 사이언스파크에서 연 협력사 워크숍에서 선보였고, 올해 말부터 협력업체에 불독 1.0 버전을 활용할 수 있도록 할 예정이다.
◇데이터 규제 혁신 나선 정부… “민관협으로 ESG 보안 관리해야”
전문가들은 디지털리스크 해소와 신뢰를 쌓은 것이 기업만의 영역이 아닌 민관 협력이 기반이 돼야 한다고 강조한고 있다.
그 일환으로 국회입법조사처는 지난달 발표한 ‘AI 혁신과 개인정보 보호, 공존의 해법’ 보고서에서 AI 개발 데이터 수요에 대응한 개인정보보호법 개편 방안을 다뤘다.
현행 개인정보보호법이 지나치게 경직돼 있어 AI 개발을 위한 데이터 활용에 어려움이 있다는 산업계와 실무·연구 현장의 지적에 따른 것이다.
과학기술정보통신부는 지난 7월 ‘AI 3대강국(G3)을 위한 데이터 규제혁신 현장 간담회’를 열고 업스테이지·트웰브랩스·루닛 등 국내 주요 AI 스타트업들이 개인정보보호법과 저작권법 등 데이터 규제 완화를 촉구한 바 있다.
정부는 현재 국가안보실 중심으로 과학기술정보통신부, 금융위원회. 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처 합동 ‘범부처 정보보호 종합대책’을 수립해 지난달 22일 발표했다.
공공·금융·통신 등 1600여개 정보기술(IT) 시스템들 대상으로 대대적인 보안취약점 점검을 추진하는 등 즉시 실행할 수 있는 단기과제 위주로 구성됐다.
염흥열 순천향대 정보보호학과 명예교수는 “디지털리스크는 사회(S), 지배구조(G) 측면의 지표와 직접 연관된다. 이제는 ESG의 틀 내에서 본격적으로 다뤄야 한다”며 “국가나 기업, 조직 차원의 경영 리스크 차원에서 지속가능하게 관리할 수 있을 것”이라고 말했다.
장우진 기자 jwj17@dt.co.kr 기자 admin@slotmega.inf