본문 바로가기
[ESG Letter] 가치알랩

2023.08.01 ESG IN TECH – 안랩, 사실은 ESG 전문 기업? (by. 니니)

by 보안세상 2023. 8. 9.

안녕하세요, 오랜만에 돌아온 ESG IN TECH의 니니입니다.

 

여러분, 흥미로운 사실을 하나 알려드릴까요? 사실 안랩 직원은 모두 ESG 전문가일지도 모릅니다. 무슨 이야기냐고요? 모두 아시다시피 안랩은 정보보안(Cybersecurity)를 업(業)으로 삼는 기업인데요, ESG의 핵심요소 중 하나로 정보보안이 거론되고 있기 때문입니다!

 

사진 출처: UnsplashFLY:D

 

환경(E), 사회(S), 거버넌스(G)… 그리고 C?

최근 디지털전환의 확산과 고도화되는 사이버 위협으로 인해 정보보안은 어느 특정 기업이나 조직만의 이슈가 아닌 모두가 주목하는 이슈가 되었습니다. ESG 분야에서도 예외는 아닙니다. 정보보안이 ESG에서 차지하는 중요성에 대해선 이미 많은 기관들이 강조한 바 있습니다.

 

대표적으로, 전략 컨설팅 기업 KPMG는 ‘Cyber security: Don’t report on ESG without it(링크)  정보보안 없이 ESG 보고하지마라’이라는 제목의 보고서에서 정보보안이 ESG 아젠다의 중심이 되고 있다고 이야기합니다. 사회(S) 영역에서 본다면 기업의 사회적 책무에 대한 대중의 관심이 높아짐에 따라, 취약한 보안 또는 개인정보유출로 사회구성원에게 피해를 입히거나 물의를 일으키지 않기 위한 기업의 노력이 중요해졌다고 볼 수 있습니다.

 

정보보안은 ESG 중에서도 주로 사회(S) 영역의 이슈로 고려되고는 있지만, KPMG를 비롯한 여러 경영 컨설팅 기업에선 거버넌스(G)의 측면에서도 정보보안에 주목해야 한다고 하는데요. 쉽게 말하면, ‘정보보안·사이버 보안 리스크'가 기업의 지속가능성에 지대한 영향을 끼치기 때문에 지배구조(Governance) 차원에서 이를 체계적으로 증명하라는 것으로 보입니다.

 

IT 리서치 기업 가트너(Gartner) 또한 ‘2023년 주요 사이버보안 트렌드’ 보고서에서 정보보안을 단순히 기술의 문제가 아니라 비즈니스 가치의 문제로 바라봐야 한다고 주장했습니다. 사이버보안이 기업의 지속가능한 성장을 위한 핵심 지표라는 이야기입니다(관련 기사 링크)

 

이외에도 세계 최대 의결권 자문 기업 ISS(Institutional Shareholder Services)의 글로벌 커뮤니케이션 담당자는 ESG에 더해 C(Cybersecurity)가 하나의 핵심 키워드(Pillar)로 추가되어야 한다고 주장할 정도로 정보보안의 중요도는 높아지고 있습니다.

 

정보보안’ 그거 어떻게 하는 건데?

‘정보보안’이 ESG에서 중요한 요소라는 것은 이해했는데, 그럼 우리 조직이 ‘정보보안’에 진심이라는 걸 어떻게 보여줄 수 있을까요? 안랩의 보안 솔루션과 서비스를 이용하고 후기를 남기면 되는 걸까요?🤔

 

ESG 평가기관이나 정부 제도를 살펴보면 각 조직에서 무엇을 준비해야 하고, 어떤 기준으로 평가 받는지 힌트를 얻을 수 있습니다.

 

먼저, 대표적인 국내 ESG 평가기관인 ‘한국ESG기준원’에서 발표한 ‘ESG 모범규준(2021년 개정판)’에선 ‘정보보호’와 관련한 항목을 다루고 있습니다.

 

잠시 내용을 살펴볼까요?

모범규준 내용 상세사항
기업은 정보 자산을 보호하기 위하여 적절한 체계와 절차를 마련하여야 한다 - 이사회의 역할
- 정책 및 관리체계 수립
- 전문인력 및 재원의 확보
- 협력사 정보 보호 점검
기업은 개인정보 보호법을 준수하고 효과적인 자율규제가 이뤄질 수 있도록 정당한 방식으로 개인 정보를 수집하고 활용하여 개인의 사생활을 보호하여야 한다 - 개인정보 보호 정책 수립
- 개인정보 보호 책임자
- 개인정보 위험 관리
- 수집 및 활용
- 모니터링 체계 구축
기업은 개인정보 보호에 관련된 활동을 투명하게 공개하고 정보주체의 정당한 자유와 권리를 보장하여야 한다 - 개인정보 처리 투명성 확보
- 정보주체의 권리 보장

(출처: 한국기업지배구조원(現 한국ESG기준원) ESG 모범규준)

 

내용을 보면 알 수 있듯, 정보보안을 위한 체계와 절차를 마련하는 것, 그리고 꾸준히 모니터링하고 투명하게 정보를 공개하는 것이 핵심임을 알 수 있습니다.

 

한편, 정부기관인 한국인터넷진흥원(KISA)에선 ‘정보보호 공시제도’를 운영하고 있는데요, 이용자의 안전한 인터넷 이용 및 정보보호 투자 활성화를 위해 기업의 정보보호 현황을 공개하는 공시 제도입니다. 안랩도 올해 공시 대상에 포함되었죠. 업종, 이용자 수 등 기준에 해당하는 기업은 정보보호와 관련한 투자 비용, 인력, 활동 등을 정리하여 ‘정보보호 공시 종합 포털’에 해당 내용을 공시하고 있습니다.

 

정보보안의 시대가 온다?

실제로 많은 기업들이 ‘정보보안’을 주요 ESG 전략 또는 목표로 지정하고 있습니다. 이런 경향은 특히 테크(IT) 기업에서 두드러집니다.

(출처: Security & Trust Infographic - CISCO ESG Reporting Hub (링크))

 

먼저, 네이버의 경우 2022년의 ESG 경영성과를 담은 통합 보고서에서 7대 ESG 전략 중 하나로 ‘정보보호·사이버 보안 리스크 최소화’를 선정했습니다. 게임사 엔씨소프트(NC SOFT)는 ESG경영 핵심가치 중 ‘디지털책임’을 내세웠는데요, 이 중에서도 정보보안 및 개인정보보호와 관련한 노력을 기울이고 있다고 밝혔습니다. 시스코(CISCO)의 경우 ‘Cisco ESG Reporting Hub(링크)’에서 정보보안과 관련된 현황 등을 인포그래픽이나 보고서 형태로 정리해 공개하고 있기도 합니다. 그렇다면 보안기업인 안랩은 어떨까요? 안랩은 회사 소개 홈페이지에 정보보안 및 개인정보보호 관련 '역할과 책임', '목표', '추진방향/계획', '관리체계', '정책', '정보보호 활동 등을 공개하고 있습니다(링크).

 

 

이처럼 정보보안은 ESG의 하위 요소를 넘어 핵심 요소로 인정받고 있습니다. ESG 경영이 보편화되면, 자연스럽게 각 조직에서 정보보안을 강화하려는 움직임도 더욱 강해질 겁니다. 안랩도 대표정보보안 기업으로서 보안 전문성을 발휘해 고객이 가진 ESG에 대한 고민을 해결하는 ESG 해결사가 될 수 있겠다는 생각을 해보며 오늘 ESG IN TECH를 마칩니다.