인간중심 보안 관점에서 본 ESG 경영과 정보보호 이슈

‘인간중심보안 포럼’ 11월 온라인 세미나에서 최근 화두인 ESG 경영 논의
한국지속경영연구원 박종철 원장 ‘ESG와 정보보안’ 주제로 발제

[보안뉴스 권 준 기자] 최근 기업의 가장 큰 화두가 되고 있는 ESG(Environment, Social, Governance) 경영과 관련해서 인간중심 보안 관점에서 ESG 경영을 바라보고, 보안 이슈와 접목하기 위한 논의가 펼쳐졌다.

[이미지=utoimage]

11월 19일 줌 회의 방식의 온라인 세미나로 진행된 인간중심보안 포럼(의장 김정덕 중앙대 명예교수)에서는 한국지속경영연구원 박종철 원장이 ‘ESG와 정보보안’에 대해 발제를 진행했다. 박 원장은 “현재의 기업은 ESG 평가가 좋지 않으면 투자대상에서 배제될 수밖에 없다”며, “특히, ESG에서의 S인 Social 측면에서 개인정보 보호 또는 프라이버시와 데이터 보호가 사회적 책임의 중요한 가치로 떠오르고 있다”고 말했다.

박 원장은 발제를 통해 기업의 ESG 평가에 있어 사회(S) 분야의 중요 이슈가 개인정보 보호와 데이터 보안 평가에 관한 것이라며, 마이크로소프트와 애플 등의 CEO가 개인정보를 인권이라고 언급할 정도로 개인정보 보호는 오늘날 기업과 투자자에게 중요한 비즈니스 문제가 되고 있다고 강조했다.

개인 데이터의 수집 및 사용이 오늘날 경제에서 가장 중요한 가치가 되고 있고, 최근 발생한 데이터 침해 사건들이 부적절한 데이터 보안의 결과로 기업이 겪는 평판 및 재정적 피해를 여실히 보여주고 있는 만큼 투자자들이 이와 관련된 주가 하락의 위험을 무시할 수 없는 상황에 이르렀다는 얘기다. 이에 기업 투자자들은 개인정보 보호에 더 집중하고 있고, 기업이 데이터 관리 관행에 대해 보고해줄 것을 기대한다며, 기업은 개인정보 데이터를 수집·사용·보호하는 방법에 대해 적극적으로 대처해야 하는 압력에 직면해 있다는 게 박 원장의 설명이다.

박 원장은 “이렇듯 기업의 ESG 경영체제 구축에 있어 개인정보 보호와 데이터 보안이 매우 중요한 위치를 차지하고 있음에도 국내 기업 CEO 등 임원진의 경우 ESG 경영에 있어 보안의 중요성을 잘 모르거나 신경을 제대로 못 쓰는 경우가 대부분”이라고 아쉬워했다.

이에 박 원장은 기업의 ESG 경영체제 구축에 있어 보안과 관련해서는 최소한의 체크리스트를 바탕으로 △이사회 관리 감독 측면에서 정보보호담당 이사 지정 여부 △개인정보보호 정책 수립 측면에서 개인정보보호 임직원 가이드라인 및 위탁가이드 등의 마련, 교육·공개·조직 측면에서의 정책 수립 여부 △정보보호 관리체계 구축 측면에서는 보안개발 프로세스 구축, 데이터 침해 사고 예방을 위한 점검 시스템 마련, 정보보호 관련 인증 취득, 데이터 침해 발생시 대응·복구 체계 수립, 정보보호 전문인력 및 재원 확보 수준 등을 자체 점검해야 한다고 설명했다.

▲인간중심보안 포럼에서 발표하고 있는 한국지속경영연구원 박종철 원장[사진=보안뉴스]

마지막으로 박종철 원장은 “ESG 경영은 이제 경영의 변수가 아니라 상수”라며, “C레벨은 ESG에 대한 이해도 제고가 필요하며, ESG에서도 특히 S(사회)가 중요시되면서 인적자본 관리, 공급망 관리, 인권으로서의 개인정보보호 의무가 강조되고 있다는 점을 명심해야 한다”고 설명했다.

박종철 원장의 발표가 끝난 이후, 인간중심보안 포럼 회원들은 ESG 경영과 보안 이슈에 대한 다양한 의견을 제시했다. 이와 관련 삼정KPMG 김민수 전무는 “기업은 아직 사이버보안이 ESG 경영에 있어 어떤 영향을 미치는지에 대해 관심을 갖고 있는 정도”라면서도 “최근에는 보안이 공급망 관리, 환경안전 분야와 접목되면서 전체적인 모니터링을 할 수 있는 솔루션이나 해법에 대한 문의가 많다”고 언급했다.

또한, 인간중심보안 포럼의 김정덕 의장은 “ESG 경영에 있어 보안이 긍정적인 영향을 미칠 수 있다는 점을 경영진에게 지속적으로 인식시켜야 한다”며, “이러한 과정을 거쳐야만 비로소 보안이 기술적 영역을 넘어 비즈니스의 영역으로 자리 잡을 수 있다”고 강조했다.
[권 준 기자(editor@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)