'데이터 리스크'라는 균열이 ESG 경영의 방패를 위협하고 있다.
고객 정보 보호는 단순한 기술적 방어를 넘어, 기업의 지속가능성을 결정짓는 핵심적인 ESG 과제임을 시각적으로 보여준다. [이미지 = 코리아비즈니스리뷰 DB]
4차 산업혁명 시대, 데이터는 ‘21세기의 원유’로 불리며 기업 가치를 평가하는 핵심 자산(Asset)으로 등극했다. 그러나 동전의 양면처럼, 관리되지 않은 데이터는 기업의 존립을 뒤흔드는 가장 치명적인 부채(Liability)가 되기도 한다.
과거 기업들은 고객 정보 유출 사고를 단순히 IT 부서의 기술적 결함이나 외부 해커의 악의적 공격에 의한 ‘보안 사고’로 치부했다. 사후 대처 역시 사과문 발표, 담당자 징계, 과태료 납부, 그리고 보안 시스템의 기술적 업그레이드 수준에서 마무리되곤 했다.
그러나 ESG(환경·사회·지배구조) 경영 시대가 도래하고 글로벌 공시 기준이 강화되면서 패러다임은 완전히 바뀌었다. 이제 고객 정보 유출은 기업의 ‘사회적 책임 위반’이자, 이사회의 감시 의무 소홀을 드러내는 ‘거버넌스(Governance)의 실패’로 규정된다. 블랙록(BlackRock)을 비롯한 글로벌 투자자들은 정보보호 역량을 기후 위기 대응 능력만큼이나 중대한 비재무적 리스크이자 재무적 건전성을 판단하는 척도로 평가하기 시작했다.
이번 ESG경영 인사이트에서는 기술적 이슈로만 여겨지던 고객 정보 유출 사태를 ‘디지털 인권’과 ‘지배구조’라는 ESG 핵심 아젠다로 재해석하고, 실무자가 즉시 적용해야 할 4단계 대응 전략을 심층 분석한다.
1. ‘기술’의 문제를 넘어선 ‘인권’의 위기 (S: Social Impact)
ESG의 ‘S’ 영역에서 고객 데이터 보호는 더 이상 고객 만족이나 품질 관리의 하위 개념이 아니다. 이는 ‘디지털 인권(Digital Human Rights)’이라는 거시적 담론으로 격상되었다.
유엔(UN)의 ‘기업과 인권 이행원칙(UNGPs)’은 기업이 경영 활동 중 인권을 존중하고, 자사의 활동과 연관된 인권 침해 리스크를 예방 및 완화할 책임이 있음을 천명한다. 현대 사회에서는 개인정보와 프라이버시 침해가 인권 문제의 핵심 영역으로 간주되면서, 데이터 보호 역시 UNGPs가 제시하는 기업의 인권 책임 범주에 포함되는 중대 리스크로 다뤄지고 있다.
개인정보는 단순한 식별 기호가 아니라 개인의 정체성, 금융 자산, 사생활과 직결된 ‘디지털 자아’ 그 자체다. 따라서 유출 사고는 고객에게 스팸 문자가 늘어나는 수준의 불편함을 넘어 보이스피싱, 금융 사기, 사생활 침해, 디지털 스토킹 등 2차, 3차 피해를 유발하며 개인의 삶을 파괴할 수 있다.
데이터 보호가 왜 'S'의 핵심인가?
특히 주목해야 할 지점은 데이터 유출 피해의 불평등성이다. 디지털 문해력이 상대적으로 낮은 고령층이나 금융 취약계층은 유출 사고 발생 시 대처 능력이 떨어져 더 큰 금전적 피해를 입을 확률이 높다.
기업이 보안에 소홀했다는 것은 곧 사회적 약자를 보호해야 할 기업 시민으로서의 책무를 방기했다는 비윤리적 평가로 직결된다.
글로벌 컨설팅 기업 매킨지(McKinsey)는 전 세계 소비자의 약 87%가 “보안 관행에 우려가 있는 기업과는 거래를 하지 않겠다”고 응답했다고 분석했다. 이는 소비자들이 정보 유출 기업에 대해 단순한 불매를 넘어, 애초에 관계 맺기를 기피한다는 것을 의미한다. 즉, 데이터 보안은 브랜드의 신뢰도뿐만 아니라 비즈니스의 지속가능성을 좌우하는 핵심 지표가 된 것이다.
2. 거버넌스 실패의 결정적 증거 (G: Governance Failure)
투자자 관점에서 정보 유출 사고는 명백한 ‘G(지배구조)’의 리스크다. 대규모 정보 유출 사건 상당수는 단순한 해커의 기술력보다는 이사회 차원의 리스크 관리 부재, 경영진의 보안 투자 경시 등이 복합적으로 작용한 결과로 분석된다.
글로벌 사례 분석: 에퀴팩스(Equifax) 사태의 교훈
2017년 발생한 미국의 3대 신용평가사 에퀴팩스(Equifax) 해킹 사태는 ESG 관점에서 시사하는 바가 크다. 당시 약 1억 4,700만 명의 민감한 신용 정보가 유출되었는데, 이 사건이 치명적이었던 이유는 해킹 그 자체보다 ‘대응 과정에서 드러난 거버넌스 실패’ 때문이었다.
경영진은 유출 사실을 인지하고도 수 주 동안 이를 즉시 대중에게 알리지 않아 공시 지연과 투명성 부족에 대한 비판을 받았다. 더욱 충격적인 것은 사건이 공식 발표되기 전, 일부 임원이 보유 주식을 매각한 정황이 드러나면서 내부 통제와 윤리 리스크가 중대하게 부각되었다는 점이다. 이는 내부 통제 시스템이 제대로 작동하지 않았음을 보여주는 단적인 예다.
결과적으로 에퀴팩스는 주가 폭락은 물론, 미국 연방거래위원회(FTC) 등과의 합의 과정에서 최소 5억 7,500만 달러에서 최대 7억 달러(한화 약 7,000억~8,000억 원대 수준) 규모의 막대한 제재 비용을 부담하게 되었다.
이 사례는 정보보호가 CISO(정보보호최고책임자)만의 실무가 아니라, CEO와 이사회가 직접 챙겨야 할 수탁자 책임(Fiduciary Duty)임을 명확히 보여준다.
3. 통제 불가능한 리스크: 공급망 데이터 관리
최근 ESG 공시 의무화 흐름 속에서 대두되는 또 다른 이슈는 바로 ‘공급망(Supply Chain) 내 데이터 관리’다.
자사의 보안 시스템이 아무리 완벽하더라도, 협력사나 외주 파트너사에서 구멍이 뚫린다면 그 책임은 고스란히 원청 기업에게 돌아온다. 해커들은 보안이 철저한 대기업을 직접 공격하기보다, 보안이 취약한 하청 업체를 우회 경로로 삼는 경우가 많다.
미국의 대형 유통업체 타겟(Target) 사태가 대표적이다. 타겟의 경우 자체 시스템이 직접 해킹된 것이 아니라, 공조 시스템(HVAC)을 담당하던 협력사의 네트워크 계정(벤더 자격 증명)이 탈취되면서 약 4,000만 건의 결제카드 정보와 추가 고객 정보가 대규모로 유출되는 사태를 겪었다. 이 사건은 보안이 상대적으로 취약한 공급망 협력사를 경유해 핵심 시스템에 침투하는 전형적인 우회 공격 사례로 평가된다.
국내 기업들 역시 클라우드 서비스(MSP), 마케팅 대행사, 물류 업체 등 수많은 파트너와 고객 데이터를 공유하고 있다. 협력사의 보안 수준을 점검하고, 계약서에 ESG 보안 조항을 명시하는 것은 이제 선택이 아닌 필수적인 공급망 실사(Due Diligence) 항목이다.
4. 실무자를 위한 4대 거버넌스 실행 전략
그렇다면 기업 실무자는 이러한 ESG 리스크에 어떻게 대응해야 하는가?
단순히 방화벽을 높이는 기술적 접근을 넘어, 조직문화와 프로세스를 아우르는 통합적 접근이 필요하다.
다음은 KBR이 제안하는 4단계 실행 전략이다.
첫째, 정보보호 거버넌스를 이사회 직속으로 격상해야 한다.
기존에 IT 부서 산하에 머물러 있던 정보보호 조직의 위상을 높여야 한다. 정보보호 위원회를 이사회 산하의 직속 기구로 편입하거나, 최소한 'ESG 위원회' 내에 정보보호 분과를 신설해야 한다. 또한, CISO(정보보호최고책임자)가 분기별 1회 이상 이사회에 직접 보안 리스크 현황과 투자 계획을 보고하도록 정관이나 이사회 규정에 명시해야 한다. 경영진이 보안 이슈를 '기술적 문제'가 아닌 '경영 리스크'로 인식하게 만드는 가장 확실한 방법이다.
둘째, 'Privacy by Design(설계 단계부터의 보안)'을 내재화해야 한다.
제품이나 서비스가 완성된 후 보안 기능을 덧붙이는 방식은 구시대적이다. 서비스 기획 및 설계 단계부터 개인정보 처리를 최소화하는 원칙을 도입해야 한다.
마케팅 부서가 고객 정보를 수집하려 할 때 "이 정보가 서비스 제공에 반드시 필요한가?"를 검증하는 절차를 의무화하고, 불필요한 수집을 차단해야 한다. 또한, 수집된 데이터는 반드시 가명 처리하거나 암호화하여 보관하는 기술적 조치를 기본값(Default)으로 설정해야 한다.
셋째, 협력사 선정 시 강력한 '보안 ESG 평가'를 도입해야 한다.
공급망 리스크를 차단하기 위해 협력사 선정 기준을 강화해야 한다. 가격 경쟁력이나 납기 준수 능력뿐만 아니라, 정보보안경영시스템 국제표준(ISO 27001)이나 ISMS-P 인증 보유 여부를 ESG 평가 지표에 20% 이상 반영하는 등 실질적인 가중치를 부여해야 한다.
계약 체결 시에는 보안 사고 발생 시의 책임 소재와 배상 범위를 명확히 하는 '보안 특약'을 반드시 포함하고, 연 1회 이상 협력사의 보안 실태를 점검하는 정기 실사를 진행해야 한다.
넷째, 투명한 공시로 신뢰 자본을 구축해야 한다.
사고 사실을 숨기거나 공개를 지연하는 것은 후속 평판·규제 리스크를 키울 수 있다. 지속가능경영보고서(ESG 보고서)에 단순히 "보안 인증을 취득했다"는 식의 나열식 홍보를 넘어, 실질적인 내용을 담아야 한다.
구체적인 침해 사고 대응 매뉴얼(컨틴전시 플랜)의 존재 여부, 임직원 대상 보안 모의훈련의 결과 및 개선 사항, 그리고 이사회의 정보보호 안건 논의 횟수 등을 투명하게 공개해야 한다. 이러한 투명성은 설령 사고가 발생하더라도 시장의 신뢰를 회복하는 탄력성(Resilience)의 원천이 된다.
5. 결론: 보안은 비용이 아니라 '신뢰 자본'이다
글로벌 투자자와 소비자 사이에서 고객 정보 보호를 단순한 ‘방어 비용’이 아닌 ‘신뢰 자본(Trust Capital)’으로 보는 인식이 빠르게 확산되고 있다.
ESG 경영을 표방하는 기업이라면, 고객의 데이터를 지키는 것이 탄소 배출을 줄이는 것만큼이나, 혹은 그 이상으로 중요한 사회적 책무임을 인지해야 한다.
투자자와 소비자는 묻고 있다.
"당신의 기업은 고객의 영혼과도 같은 데이터를 안전하게 다룰 수 있는 투명한 의사결정 구조와 윤리적 태도를 갖추고 있는가?"
이 질문에 대해 기술적 용어가 아닌, 진정성 있는 거버넌스 전략으로 답할 수 있을 때, 기업은 비로소 리스크를 넘어 지속가능한 성장을 위한 진정한 ESG 리더십을 확보하게 될 것이다.