물류기업은 B2C 사업자이자 B2B 기업이다. 즉 고객의 개인정보뿐아니라 기업의 수출입 물동량과 공급망 데이터 등까지 담고 있는 '데이터의 허브'다.

물류기업 한 곳이 공격을 받으면 꼬리를 물고 전 세계의 터미널과 선사, 기업의 시스템까지 마비되는 나비효과가 일어날 수 있다는 이야기다. 실례도 있다. 2017년 글로벌 선사이자 종합 물류사인 머스크의 해킹 피해다. 한 번의 공격으로 3000억원이 넘는 손실을 입었다.

정보를 다루는 방식도 유출 피해를 입기 쉽게 짜였다. 업종에 따라 정보를 처리하는 인력 자체를 최소화해 유출 리스크를 줄이기도 하지만 물류 기업은 임원부터 실무 작업자까지 모두 배송 등의 정보를 직접 다룬다.

택배 중심의 CJ대한통운 등과 제조사의 수출입 업무 중심인 현대글로비스 등 B2B·B2C 물류기업들을 살펴봤다. 글로벌 물류 흐름에 맞춰 정보보호 투자는 대폭 확대되고 있다. 다만 기업별 편차는 존재했다.

◇B2C는 운송장·통관부호·배송이력, B2B는 수출입 내역까지

CJ대한통운과 한진 등 택배 중심의 B2C 물류사들은 우선 운송장 데이터에 정보가 모여있다. 이름과 주소, 전화번호, 이메일 등의 기본 정보와 함께 통관이 필요한 국제특송의 경우 개인통관고유부호, 주민·외국인등록번호 일부, 수취인의 생년월일 등이 포함된다.

대형 이커머스나 마켓 플랫폼과 연계된 B2C 물류사는 더 많은 정보를 확보 중이다. 고객 ID·결제수단·멤버십·쿠폰 이력, 제휴 카드·포인트 적립 내역 등까지 아우른다. 택배사 내부 시스템뿐 아니라 쇼핑몰·결제대행사(PG)·간편결제 등 여러 단계를 거친다. 공격의 여지도 많다는 이야기다.


제조업 대상의 수출입 중심 물류사는 어떨까. B2B 기업들의 제조품 수출량과 부품 수입량, 품목, 운송 스케줄, 운임 단가 등 제조사와 공급망의 핵심 정보가 담긴다. 때문에 유출 시도가 이뤄지면 기업의 영업상 비밀까지 탈취당할 가능성도 엿보인다. 수출입 물류 데이터를 활용하면 특정 기업의 생산계획·고객사 구성, 심지어 신규 제품 출시 일정까지 추론할 수 있다.

배송 기사 등 현장의 인력이 개인 단말기 등을 통해 직접 개인정보를 조회할 수 있는 구조라는 것도 약점이 될 수 있다. 국내에서도 B2C 택배사의 택배기사가 개인정보 조회 프로그램 접속권한을 외부인에게 판매하며 개인정보가 탈취된 사례가 발생했다. B2B 물류의 경우에도 해외 터미널·현지 운송사·통관 대행사 등에게 일부 권한을 부여할 것으로 보인다.

◇현대글로비스 우수생, 절반에 그친 한진

국내 운수 기업 중 정보보호부문 투자비중으로 눈에 띄는 기업은 현대글로비스다. 2025년 한국인터넷진흥원(KISA) 공시에 따르면 현대글로비스의 지난해 정보보호부문 투자액 비중은 9.1%다. 국내 773개 기업의 평균이 6.29%다. 투자액은 약 57억원으로 나타났다.


투자액을 놓고 보면 가장 적극적인 투자에 나선 기업은 CJ대한통운이다. 2024년 투자액은 105억원으로 집계됐다. 2022년에도 116억원을 선제적으로 투입했었다. 2023년 92억원을 투자했다. 꾸준히 100억원 안팎의 금액을 정보보호에 쏟아온 셈이다.

쌓여온 공시 통계를 보면 CJ대한통운은 운수·창고업 전체를 통틀어 정보보호 투자액 최상위권을 꾸준히 지켜온 기업이다. 투자금을 어떻게 활용했는 지도 비교적 상세히 고지한다. 지난해에는 개인정보 처리 로그 분석 시스템 구축 등에 투자금을 썼다.

반면 택배·택배형 물류를 주력으로 하는 한진의 투자 규모는 아직 절대액에서 CJ대한통운의 7분의 1 수준에 그친다. 한진은 2024년 한해동안 15억원을 투입했다. 다만 매년 투자금이 조금씩 증가하는 추세다. 2022년 5억원, 2023년 13억원으로 점차 늘었다. 정보기술부문 투자액 대비 정보보호부문 투자액 비중은 4.7% 수준이다.

다만 전담인력의 규모는 기업별로 대동소이했다. 현대글로비스의 정보보호부문 전담인력이 11.5명으로 전체 정보기술부문 인력의 5.7%를 차지했다. CJ대한통운은 10명으로 비중이 3.3%에 그쳤다. 한진은 같은 기간 6.3명이 정보보호 전담 인력으로 근무했다.

롯데글로벌로지스는 지속가능경영보고서로 정보보호 현황을 공개한다. IT 예산 대비 정보보호 투자금의 비중을 최근 3년간 약 8~9%로 유지해 왔다. 절대 투자액은 약 28억~29억원을 오갔다.

◇CISO 보편화, 글로벌 조직도 신설해야

물류업계에서는 최고정보보호책임자(CISO) 선임이 보편화돼 있는 것으로 보인다. 또 주요 기업의 경우 CISO와 별도로 최고개인정보보호책임자(CPO)도 지정해 뒀다.

한진은 CISO와 CPO를 모두 선임했다. 겸직도 하지 않는다. 수석 직책의 임원이 담당 중이다. CJ대한통운도 CISO, CPO를 뒀다. 롯데글로벌로지스는 ESG 경영전략실 실장에게 CISO를 맡겼다. 현대글로비스는 HR지원실장이 CPO를 겸한다.

관련 임원 선임이 돼 있지만 CISO와 CPO를 모두 임원급으로 분리해 두고 있는 사례가 흔하지는 않았다. 대부분 CIO·IT본부장, 리스크·경영지원 담당 임원이 CISO·CPO를 겸직하는 구조다.

계열사·국외 이전 구간도 과제다. 택배사의 고객센터, 시스템 운영 일부가 계열사나 외부 수탁사에 위탁돼 있는 경우가 많아서다. B2B 물류사는 해외 법인·현지 운송사·통관 대행사 등과의 시스템 연동이 필수적이다. 글로벌 물류 네트워크를 운영하는 기업이라면 글로벌 정보보호 관련 조직을 검토해야할 것으로 보인다.

정보보호 관련 인증 현황을 보면 현대글로비스가 ISO27001 인증, CJ대한통운이 ISMS와 ISO27001:2022, 한진이 ISMS를 보유했다고 각각 공시했다. 롯데글로벌로지스는 지속가능경영 보고서를 통해 ISMS 보유 현황을 전했다.