융합보안논문지 (Convergence Security Journal)

  • 제25권2호
  • /
  • Pages.9-15
  • /
  • 2025
  • /
  • 1598-7329(pISSN)
  • /
  • 2508-7460(eISSN)
한국융합보안학회 (Korea convergence Security Association)
권호 표지
DOI QR코드

DOI QR Code

지속 가능한 경영 보장을 위한 정보보호 진단 방식 강화

Strengthening the Diagnostic Method in the Information Security to Ensure Sustainable Management

  • 엄정호 (대전대학교 군사학과&안보융합학과)
  • Jung-Ho Eom
  • 투고 : 2025.02.19
  • 심사 : 2025.03.04
  • 발행 : 2025.06.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

ESG는 기업 가치를 기업이 지속 가능한 구조인가에 초점을 두고 재무적 요소가 아닌 비재무적 요소로 평가하는 것을 의미한다. 최근에 ESG에 대한 관심이 높아짐에 따라 정부 주도의 ESG의 제도화와 민간 분야에서의 ESG 도입이 확산되고 있다. 산업통상자원부에서 한국형 ESG 가이드라인을 제작하여 ESG 공시 의무화 대상기관이나 기업이 참고할 수 있도록 하였다. K-ESG에서는 ESG의 3대 요소에 정보공시를 추가하여 4개 영역을 기준으로 분류체계를 구분하여 영역내 범주별 진단항목을 제시하고 있다. 아울러 기본 진단항목 정의서를 마련하여 점검기준을 제시하고 있다. 이 중에서 사회 영역의 정보보호 범주에서 제시한 진단항목의 진단 기준이 구체성과 실체성 측면에서 부족하다고 판단된다. 본 논문에서는 기본 분류 2개와 추가 분류를 대상으로 기업의 정보보호 상태를 보다 구체적이고 실질적으로 진단할 수 있는 점검기준과 유형을 강화하는 방안을 제시하고자 한다.

ESG means evaluating company value based on non-financial factors rather than financial factors, focusing on whether the company is a sustainable structure. Recently, as interest in ESG has increased, the institutionalization of government-led ESG and the introduction of ESG in the private sector are spreading. The Ministry of Trade, Industry and Energy has developed the Korean ESG guidelines, and has made it possible for organizations or companies with mandatory ESG announce obligations to refer to the guidelines for ESG implementation. K-ESG added information announce to the three major elements of ESG, categorized the classification system into four domains, and presented diagnostic items by category within the domain. It also prepared a basic diagnostic item definition and presented diagnosis criteria. Among these, it is judged that the diagnostic criteria for the diagnostic items presented in the category of information security in the social domain are lacking in terms of concreteness and substantiality. We would like to propose a way to strength the diagnostic criteria that can diagnose the information security status of a company more specifically and practically by targeting two basic categories and additional categories.

키워드

1. 서론

재무적 요소 중심으로 기업의 가치를 평가하던 흐름이 2000년 이후에 다양한 사회 및 환경 요소의 변화에 따라 비재무적 요소인 ESG 경영이 기업이나 기관에서 기업의 건전성을 평가하는 기준이 되고 있다. ESG는 기업의 가치를 재무적 요소가 아닌 비재무적 요소인 환경, 사회, 지배구조로 의미하며, 친환경, 사회적 책임, 건전하고 투명한 지배구조에 중점을 두고 기업의 지속가능성 경영을 달성하기 위한 중요한 요소이다. 이러한 ESG의 중요성은 투자자와 고객의 ESG 요구 증대, 기업 신용평가에 ESG 요소의 적극적 반영, ESG 관련 정부의 규제가 지속가능보고서 공시 의무화 추진 등 강화에서 볼 수 있다. 우리나라도 ESG 관련 지속가능경영보고서 공시를 2025년부터 2030년까지 자산 2조원 이상, 그 이후에는 전 코스피 상장사를 대상으로 의무화를 추진하고자 한다[1-3].

기업들의 공시하는 지속가능경영보고서에는 ESG에 대한 자가 진단 결과를 포함하게 되는 자가 진단은 환경, 사회, 지배구조에 포함된 요소를 대상으로 이루어진다. 현재 한국에서는 산업통상자원부에서 K-ESG 가이드라인을 발표하였는데, ESG 자가 진단 방법이 포함되어 있다. ESG의 3개 요소를 영역으로 구분한 후 범주로 세분화하여 진단항목으로 구성되어 있다. 진단항목별 정의서는 다양한 내용이 포함되어 있으며, 진단 관련해서는 진단 점검기준, 적용방안, 점검기준 유형 등이 포함되어 있다. 그리고 사회 영역의 정보보호 진단항목은 정보보호체계와 개인정보보호가 포함되었으며, 개인정보보호 활동을 추가적인 진단항목으로 제시하고 있다. 정보보호관련 진단항목 정의서에서 제시한 점검기준과 방안, 유형은 기업의 명확한 정보보호 실태를 진단하기에는 부족함이 있다. 기업의 정보보호는 기업의 이미지와 신뢰도에 밀접한 관계가 있으며, 앞으로도 기업의 기술 비밀, 고객 개인정보, 내부정보 등이 유출될 경우에는 지속 가능한 경영에 타격을 줄 수 있다. 그렇기 때문에 현재 K-ESG 가이드라인에서 제시한 정보보호 관련 진단항목의 진단 방식을 강화할 필요가 있다[1,4].

본 논문에서는 진단 방식을 보다 세분화하고 실질적인 상태를 반영할 수 있는 가중치 등을 적용하는 강화 방안을 제시할 예정이다. 2장에서는 ESG와 정보보호, 3장에서는 K-ESG의 정보보호 진단 방식을 설명하며, 4장에는 정보보호 진단 방식의 강화 방안과 평가를 제시하고 5장에서 결론을 맺는다.

2. ESG와 정보보호

2.1 ESG

ESG(Environmental, Social and Governance)는 앞서 언급한 바와 같이 기업 가치를 평가할 때 재무적인 요소가 아닌 비재무적인 요소로 평가하는 환경, 사회, 지배구조 등을 의미한다. ESG는 비재무적 요소로 기업의 경영활동 전반에서 탄소 중립 발생, 재생에너지 사용, 수자원 사용 등 전반적인 환경 영향을 나타내는 환경 요소, 고객, 지역사회 등 다양한 이해관계자에 대한 기업의 권리와 의무, 책임 등을 포함한 사회 요소, 그리고 이해관계자의 권리를 보호하고 책임을 다하기 위해서 이사회 다양성, 윤리 및 준법 경영, 기업 내부통제 시스템 등과 관련된 지배구조 요소를 의미한다. 이러한 ESG 경영은 현재 필요한 자원과 환경을 남용과 오용하지 않고 미래 세대가 사용할 경제/사회/환경 등의 자원을 낭비하거나 환경을 악화시키지 않고 최선의 상태를 유지할 수 있도록 하는 지속 가능성에 초점을 두고 있다[3,5].

ESG의 핵심요소인 환경, 사회, 지배구조마다 기업이 지속 가능한 사업 목표를 달성하기 위한 세부 요소들이 아래 <표 1>과 같이 포함되어 있다[4,6].

<표 1> ESG 핵심 요소[16]

SOBTCQ_2025_v25n2_9_2_t0001.png 이미지

2.2 ESG 내 정보보호 역할

‘25년도 초 GS 리테일은 크리덴셜 스터핑 해킹 공격을 받아 약 9만 명의 고객정보가 유출되었다. 크리덴셜 스터핑 해킹 기법은 여러 경로를 통해 수집한 계정정보와 비밀번호를 특정 사이트에 접속해 무작위로 대입, 로그인 후 개인정보를 훔치는 기법으로 유출된 고객의 개인정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디 등 7개 항목이다[7]. 2024년 8월에는 미국에서 'Fenice' 라는 해커가 내셔널 퍼블릭 데이터로 부터 약 27억 건의 개인정보가 해킹 포럼에 노출되는 유례없는 규모의 개인정보 유출사건이 발생한 바 있다. 유출된 데이터는 암호화되지 않은 이름, 사회보장 번호, 주소지, 그리고 별칭도 포함되어 있었다. 이 사건으로 여러 건의 집단 소송이 제기되고 있는 상황이다[8]. 기업에서 고객 또는 직원의 개인정보가 유출될 경우에 심각한 사생활 침해가 우려되며, 개인정보가 다크 사이트에서 악용될 가능성이 높다. 그렇게 때문에 기업에서 개인정보보호는 기업의 가치와 경영 수준을 판단하는 매우 중요한 요소이기도 하다[9].

지속 가능한 ESG 경영에서도 핵심요소인 사회 영역에서 정보보호를 포함시키고 있다. 정보보호는 정보보호 시스템과 개인정보보호와 관련된 사항으로 이를 위한 활동들이 포함되어 있다. 예전에는 사회 영역에서 정보보호의 중요성이 다른 요소에 비해 상대적으로 적은 편이었다. 하지만 대부분의 업무처리가 IT 기반으로 자동화, 지능화됨에 따라 해커들이 업무체계를 해킹하여 업무를 마비시킨다거나 개인정보를 유출하여 악용함으로써 기업의 신뢰도와 이미지를 크게 훼손시키는 결과를 가져오게 되었다. 아울러 인공지능을 비롯한 첨단 IT 기술이 기업의 업무에 미치는 영향이 높아질수록 정보보호의 중요성은 더욱 커지고 있다.

법무법인 화우의 ‘개인정보보호, 24년 주요 이슈 분석’에서는 ‘20년 투자자들이 고려하는 ESG 상위 리스크에 사이버보안이 포함되어 있다고 인용하였으며, 기업의 개인정보 침해는 재무적 손실뿐만 아니라 기업의 신뢰도와 평판을 훼손시키는 것이며, 이를 회복하기 어렵다고 밝혔다[10]. 또한, 박광배의 'ESG 경영 트렌드와 정보보안/개인정보보호의 중요성'에서는 기업의 업무시스템과 개인정보가 해킹을 당했을 때 기업의 평판뿐만 아니라 고객 등의 이해관계자들에게도 심각한 피해를 줄 수 있는 중요한 이슈라고 밝혔으며, ESG 경영이 강조될수록 정보보호의 중요성이 더욱 커지기 때문에 이에 대한 준비가 필요하다고 밝혔다[11].

3. K-ESG 진단 평가

3.1 K-ESG 가이드라인 진단 방식

2024년 산업통상자원부가 발간한 K-ESG 가이드라인[1]에서는 ESG 진단 방식을 제시하고 있다. 우선 분류체계는 영역, 범주, 진단항목으로 구성된다. 영역은 ESG 정의를 기반으로 정보공시를 추가하여 정보공시, 환경, 사회, 지배구조 영역으로 분류한다. 범주는 국내외 ESG 공시·평가 기준의 공통 이슈를 바탕으로 조직이 ESG 경영을 통해서 추구해야 할 사회적 가치로 구성한다. 진단항목은 각 범주별로 정성·정량적으로 진단하기 위한 세부 항목으로 환경영역은 25개, 사회영역은 22개, 지배구조영역은 17개, 정보공시 영역은 5개 항목으로 구성되어 있다.

진단항목별 기본 진단항목 정의서는 항목정의서, 추가설명, 용어정리, 참고자료 등으로 구성되어 있다. 추가 진단항목 정의서는 현재는 글로벌 평가지표에는 포함되어 있지 않으나 각 산업의 특성을 고려하여 진단할 가치가 있는 항목으로 기업의 상황에 따라 선택적으로 활용할 수 있는 진단항목이다. 추가 진단항목은 환경영역 2개, 사회영역 12개, 지배구조영역 2개로 모두 16개로 구성되어 있다.

진단항목 정의서는 분류번호, 항목설명, 성과점검, 점검기준, 적용방안, 점검기준 유형이 포함되어 있다. 본 연구에서 다룰 부분은 점검기준과 유형으로, 현재 K-ESG 가이드라인에서는 점검기준을 해당 조직의 수준을 진단할 수 있도록 3~5단계로 제시하고 있다. 점검기준 유형은 4가지 유형으로 단계형 1은 정성/정량 기준에 따라 3~5단계로 설정하고 단계형 2는 산업 평균 및 추세 비교 후 각각의 점수를 산술 평균한 값으로 결정한다. 선택형은 제시된 요건 중 해당 항목수에 따라 수준을 산정하고 감점형은 제시된 요건에 해당되는 항목 수에 따라 감점을 하는 방식이다. 아래 <표 2>는 기본 진단항목 정의서 양식을 보여준다.

<표 2> 기본 진단항목 정의서(예시)

SOBTCQ_2025_v25n2_9_4_t0001.png 이미지

3.2 정보보호 범주의 진단 방식

K-ESG 가이드라인의 사회영역의 정보보호 범주의 진단항목은 정보보호 시스템 구축, 개인정보 침해 및 구제, 그리고 추가 진단항목인 개인정보보호를 위한 자율적 노력 및 활동이 있다. 다음 <표 3>은 정보보호 범주의 진단항목 정의서에서 검검 기준과 유형을 발췌한 것이다.

<표 3> 정보보호 항목 점검기준 및 유형[1]

SOBTCQ_2025_v25n2_9_4_t0002.png 이미지

3.3 정보보호 진단항목별 개선 사항 도출

진단항목별 점검기준과 유형을 진단항목의 목적에 따라 개선할 필요가 있다. 본 연구에서는 국정원의 정보보안 관리실태 평가지표[12]와 과학기술정보통신부의 정보보호실태조사 항목[13] 등을 참고하여 개선 사항을 제시한다.

정보보호 시스템 구축 항목은 정보통신망 및 기타 정보자산 등의 안정성 확보를 목표로 네트워크와 시스템 해킹 등의 외부 공격과 시스템과 사람에 의해서 발생하는 오류로 인한 장애에 대응할 수 있는 역량을 갖추고 있는지를 확인하는 것이다. 점검 대상은 정보보호 최고책임자 임명, 정보보호 시스템 인증, 모의해킹 등 취약성 분석, 정보보호 공시 이행, 정보보호 사고를 위한 보험가입 여부 등이 있다.

위의 항목을 고려할 때, 조직이 정보보호 활동을 위해서는 반드시 연간 정보보호 예산 배정이 필요하고 그 규모도 중요하다. 정보보호 전문인력 지명도 현재의 점검기준의 최고책임자 임명도 중요하지만, 기업의 규모에 따라 정보보호 실무자 또는 조직 보유 여부도 중요할 것이다. 아울러 모의 해킹이나 사이버보안 훈련 여부와 정보보호 시스템의 업그레이드 또는 프로그램 업데이트 여부도 중요하다.

개인정보 침해 및 구제 항목은 개인정보 침해 관련 법/규제 요건을 명확하게 인식하고, 개인정보 침해 발생 이후에 구제 활동 체계 및 수행 여부를 확인하는 것을 목적으로 한다. 이를 평가하기 위해서 정보보호 법상 형벌, 행정상 처분에 따라 가중치를 적용하여 감점형으로 평가한다.

위의 항목은 개인정보보호 관련 법/규제 위반 사항이 점검기준으로 되어 있기 때문에 이 외의 개인정보보호 활동은 반영하지 않는 것이 바람직하다. 다만 침해사고 발생시에 구제 체계 구축 및 활동 수행이 목적에 포함되어 있기 때문에 침해 사건 발생 이후에 처리한 결과도 반영하면 좋을 것으로 보인다.

개인정보보호를 위한 자율적 노력 및 활동 항목은 조직이 개인정보보호 관련 법적 준수사항 외 자율적으로 개인정보보호를 위한 활동과 노력을 확인하는 것이다. 점검기준은 위의 <표 3>에서 제시한 기준에 따라 단계형으로 평가한다.

위의 항목은 자율적 개인정보보호 활동에 중점을 두었기에 조직의 개인정보보호체계를 정기적으로 감사 수행 여부와 직원들 대상으로 개인정보보호 교육 계획 수립 및 시행 여부도 중요할 것으로 판단된다.

마지막으로 사회영역의 정보보호 범주의 진단항목에 대한 점검기준을 세분화한다거나 세부 기준을 세밀하게 제시한다면, 다른 영역 범주의 진단항목의 점검기준과 차이가 발생할 수 있고 고려할 요소가 많아서 진단 시간도 늘어날 수 있다는 단점이 있기 때문에 이를 고려해야 한다.

4. 정보보호 범주의 진단 방식 강화

4.1 진단항목의 점검기준과 유형 강화

위의 3.3에서 도출한 정보보호 진단항목별 개선 사항을 참고하여 진단항목의 점검기준과 유형을 강화할 수 있다. 기준과 유형의 보완 방식은 현재의 기준과 유형을 유지하고 기준 사항을 완전하게 변경하지 말아야 한다. 기준과 기준 사항이 완전히 변경되면, 원래의 점검 목적이 흐려지고 점검 방향이 달라질 수 있다. 정보보호 범주 내 진단항목의 점검기준과 유형은 다음과 같이 강화시킨다.

첫째, 정보보호 시스템 구축 항목에서는 점검기준에 연간 정보보호 예산 배정, 정보보호 실무자 또는 조직 보유 여부, 사이버보안 훈련 여부를 추가하고 유형은 구간별 세분화와 충족 개수가 많을수록 가중치를 적용한다.

둘째, 개인정보 침해 및 구제 항목에서는 점검기준에 제재받은 사항에 구제활동 실행 여부를 추가하고 감점형 유형을 세분화한다.

마지막으로 추가 항목인 개인정보보호를 위한 자율적 노력 및 활동 항목은 개인정보보호체계의 정기적 감사 수행 여부와 개인정보보호 교육계획 수립 및 시행 여부를 추가하고 측정 구분을 세분화한다.

아래 <표 4>는 정보보호 범주에서 진단항목의 강화된 검검 기준과 유형을 보여준다.

<표 4> 강화된 정보보호 항목 점검기준 및 유형

SOBTCQ_2025_v25n2_9_5_t0001.png 이미지

4.2 강화된 진단 방식에 의한 평가

제안한 정보보호 영역의 진단항목 점검 방식을 적용한 평가 결과를 알아보고 기존의 진단 방식과 비교하기 위해서는 시나리오를 설정해야 한다. 위의 <표 4> 기준으로 A 기업이 정보보호 영역을 아래와 같다고 가정하자.

- 정보보호시스템 구축 : 정보보호 사고 대비를 위한 보험은 종료기간이 지난 후에 갱신을 못하였고 사이버보안 훈련 실적이 없음.

- 개인정보 침해 및 구제 : 유형 2의 사례가 발생하였으나 그 이후에 동일 사안에 대한 재발 방지 계획을 수립하고 사고 발생 대상 자산에 대한 점검 및 대책을 적극적으로 실행하였음.

- 개인정보보호를 위한 자율적 노력 및 활동 : 점검 기준에 제시한 공시 여부에서 개인정보 자율규제단체 활동을 제외한 모든 공시를 수행하였음.

위의 시나리오로 정보보호 범주 내에 있는 진단항목을 점검할 때 다음 <표 5>와 같은 결과를 얻을 수 있다.

<표 5> 제안 방식에 의한 진단 결과

SOBTCQ_2025_v25n2_9_6_t0002.png 이미지

이 결과를 기존의 진단 방식으로 평가한다면 다음 <표 6>와 같다.

<표 6> 제안 방식과 기존 방식에 의한 결과 비교

SOBTCQ_2025_v25n2_9_6_t0004.png 이미지

위의 <표 6>에서 알 수 있듯이 기존 진단 방식과 같이 점검기준 요건이 적고 평가 구획이 작으면 요건 충족 개수 1~2개 차이로 차이가 많이 날 수 있다. 하지만 본 연구에서 제안한 방식에서는 최대한 점검기준 요건을 확대하였으며, 평가 구획도 세부적으로 구분함으로써 보다 명확한 결과값을 도출할 수 있다.

5. 결론

ESG 경영에 대해서 투자자와 고객의 관심 증대, 정부 규제 강화, 기업 가치 평가 적용 등 ESG에 대한 관심과 중요성이 점점 부각되고 있다. 이에 따라 기업들은 ESG 경영에 요구되는 핵심요소와 그 하위 세부 요소를 충족하기 위해서 노력하고 있다. 본 연구에서는 K-ESG 가이드라인에서 제시하고 있는 ESG 경영 진단 방식을 보다 구체적이고 실체적으로 강화하기 위한 방안을 제시하였다. 정보보호 범주의 진단항목 3가지에 대해서 항목별 충족 기준을 보다 구체화하였으며, 평가 구간을 세분화하였다. 특히, 정보보호 활동 또는 침해 사건 이후에 구제 활동이나 복구 활동 여부도 중요하기 때문에 평가 기준에 추가하였다. 아울러 제안한 정보보호 진단 방식은 기존의 진단 방식에 비해 보다 명확한 평가 결과를 도출할 수 있다.

향후 K-ESG와 정보보호의 관계, 그리고 K-ESG에서 정보보호의 역할 등에 대한 연구를 세부적으로 진행할 계획이다.

참고문헌

  1. "K-ESG 가이드라인", 산업통상자원부, 2024.
  2. "ESG가 중요한 이유", https://www.clickesg.co.kr/ui/overview/whyMattersEsg.html, 2025.
  3. "지속가능경영을 위한 기업 가이드 ESG A to Z", 대한상공회의소, 2022.
  4. 조재완, "중소기업 ESG 경영환경과 보안관리 체계 연구", 중앙대학교 석사학위논문, 2022.
  5. 이은선, 최유경, "ESG 관련 개념의 정리와 이해", 한국법제연구원 이슈페이퍼 21-19-④, 2021.
  6. "지속가능한 성장을 위한 기업의 노력, ESG 경영", 경제로 세상 읽기, pp. 1-5, 2021.
  7. "GS리테일, 크리덴셜 스터핑 공격 받아 고객 9만명 개인정보 유출", https://m.boannews.com/html/detail.html?idx=135478, 2025.
  8. "사상 최대 규모의 데이터 유출, 27억 건 개인 정보 유출사건 발생", https://www.dailysecu.com/news/articleView.html?idxno=158512, 2024.
  9. 장상수, "개인정보보호법 적용 대상에 대한 개선방안 연구(안전성 확보조치 기준 의무 대상중심으로)", 융합보안논문지 제23권 제1호, pp. 35-43, 2023. https://doi.org/10.33778/kcsa.2023.23.1.035
  10. 이근우 외 5명, "개인정보보호, 24년 주요이슈분석", Legal Update, 2024.
  11. 박광배, 김태주, 손경민, "ESG 경영 트렌드와정보보안/개인정보보호의 중요성", Newsletter, 2021.
  12. "정보보안 관리실태 평가 해설서", 국가정보원, 2022.
  13. "2023 정보보호 실태평가", 과학기술정보통신부, 2024.