한진이 CJ대한통운, 현대글로비스 등 국내 주요 물류기업들 가운데 정보보호 투자 규모가 가장 적은 것으로 나타났다. 정보기술(IT) 대비 투자 비율의 수치도 최저인 것으로 확인됐다.

◇정보보안 투자 규모 업권대비 적어

한국인터넷진흥원(KISA) 공시에 따르면 한진의 2024년 정보기술(IT) 부문 투자액은 316억5555만 원, 정보보호 투자액은 14억8800만 원이다. 2021년 9억6900만원, 2022년 5억4300만원, 2023년 12억9600만원과 비교하면 늘어나긴 했지만 업권 내에서 투자 규모는 가장 적은 수준이다. 2024년 기준 CJ대한통운은 105억원, 현대글로버스는 57억원을 정보보안에 투자했다.

정보기술(IT) 대비 정보보안 투자 비율도 업권 내에서 낮은 수준이다. 한진의 정보보호/IT 투자 비율은 4.7%다. CJ대한통운은 7.1%, 현대글로비스는 9.1%를 기록했다. 이는 국내 773개 기업 평균인 6.29%와 비교하면 1.5%p 이상 낮은 수치다. 정보보호산업진흥법에 따른 의무 공시 대상 기업들의 평균 투자 비중과 비교해도 하위권에 머물러 있다.

주요 투자 항목 역시 차세대 보안 기술 도입이나 고도화 투자로는 보기 어렵다는 평가다. 공시된 주요 활동을 살펴보면 ISMS 인증 유지, 백신(PC보안) 프로그램 운영, DB 접근제어 등 필수적 보안 유지 활동에 집중됐다. 2024년 말 기준 한진의 정보보호 전담 인력은 내부 4.1명, 외주인력 2.2명 등 총 6.3명 수준이다. 이는 전체 IT 부문 인력 136.8명 대비 약 4.6% 수준이다.


◇CISO·CPO 이사급, 백신도 고도화

보안 거버넌스 체계는 갖춰져 있다. 한진은 정보보호 최고책임자(CISO)와 개인정보보호책임자(CPO)를 별도로 지정하고 있으며 두 자리 모두 임원급(수석)이 맡고 있다. CISO는 정보보안 전략 수립과 내부 거버넌스를 총괄하며 전사적 보안 정책과 대응 활동의 실효성을 확보하는 역할을 수행하고 있다.

또한 부서별 최고책임자로 구성된 개인 정보위원회와 현업 실무자가 모인 개인정보보호 실무협의체를 운영하며 사업 현장에서 발생할 수 있는 개인정보 리스크를 관리하고 있다. CPO는 개인정보보호 관련 법적 준수 사항을 감독하며, 개인정보보호 실무협의체를 운영해 현업 부서의 리스크를 관리하고 있다.

한진은 2024년 실무 협의체를 통해 개인정보보호법 개정사항, 안전성 확보조치 기준, 시스템 컴플라이언스 점검, 다크웹 모니터링 절차 등을 공유하고 현장 대응 역량을 강화했다. 실무 협의체에서의 주요 논의 사항은 개인정보위원회에서 정기적으로 검토·의결돼 보호 조치와 제도적 이행이 조직 전반에 실질적으로 정착되도록 하고 있다.

기술적 보안 조치와 관련해서는 외부 위협 탐지 능력을 보강했다. 한진은 보안관제센터를 운영해 실시간 위협을 탐지하고 있으며 다크웹 모니터링 체계를 도입해 외부 침해 가능성을 조기 식별하고 있다.

한진그룹 통합보안관제센터를 통해 보안 위협에 대한 그룹 차원의 대응 역량을 강화하는 한편 한진 내에도 자체적인 보안관제센터를 구축해 그룹사와의 유기적인 협조 아래 보안 위협에 대한 신속하고 정확한 대응이 이루어질 수 있는 체계를 갖추고 다크웹 모니터링, 보안 로그의 통합 수집·분석, 외부 위협정보 연계 분석 등 상시 사이버 위협에 대하여 사전 탐지·대응하고 있다.

2024년 기존 백신 프로그램을 더 고도화된 지능형 엔드포인트 탐지 및 대응(EDR, Endpoint Detection & Response) 솔루션으로 교체해 보안 위협을 더 빠르게 탐지·대응할 수 있는 기반을 마련했다. 협력사 점검도 강화됐다. ESG보고서에 따르면 한진은 약 900여 개 지점·집배점 협력사에 대해 오프라인 실사 점검 확대, 위탁계약 준수 검증, 반기별 맞춤형 교육자료 제공 등을 실시한다.