롯데글로벌로지스는 사명처럼 미국과 베트남 등 해외 주요 네트워크를 중심으로 하는 롯데그룹의 대표 물류 계열사다. 편의점·마트·백화점 물량부터 택배와 3PL, 국제특송과 포워딩까지 다룬다. 개인의 생활정보부터 기업의 데이터까지 국제적으로 움직인다는 의미다.

그만큼 정보보호 부문에 관심을 두고 있다. '운송장 없는 택배' 서비스를 업계 최초로 도입했다. 최근 3년간 IT 예산의 8~9%를 정보보호에 썼다. 중견 물류사 가운데서는 높은 수준을 유지 중이다. ISMS 인증을 기반으로 DR(재해복구) 체계와 임직원·파트너 교육, 위수탁사 보안 점검까지 예산을 분배했다.

◇IT 예산의 8~9% 꾸준히 투입…운송업 상위권

지속가능경영보고서에 따르면 롯데글로벌로지스는 2022년부터 2024년까지 3년간 28억원에서 29억원의 정보보호 예산을 고정적으로 배정했다. 같은 기간 IT 예산이 소폭 상승해 정보보호 투자 비율은 9%에서 8%로 다소 조정됐다. IT 예산은 315억원에서 341억원, 353억원으로 늘었다.


절대적인 규모로는 CJ대한통운·현대글로비스 등 대형 물류사에 미치지는 못한다. CJ대한통운은 지난해 정보보호 예산으로 105억원을 투입했다. 하지만 중견 물류사 중에서는 IT 예산 대비 보안 투자 비중이 높은 편이다. 또 비중으로 보면 전체 기업의 투자 비율인 6.29%를 상회한다.

롯데글로벌로지스의 사업 구조는 택배·3PL·국제특송·글로벌 포워딩 등으로 나뉜다. 운송장·통관번호·배송지·연락처 같은 B2C 데이터와 함께 수출입 물동량·거래처 정보 등 B2B 데이터까지 동시에 다룬다. 일정 수준 이상의 보안 투자를 유지할 수밖에 없는 구조다. 이에 맞춰 정보보호 예산의 가감없이 3년을 유지해온 것으로 해석된다.

롯데글로벌로지스는 한국인터넷진흥원(KISA) 공시 대상이 아니다. 때문에 지속가능경영보고서로만 현황 파악이 가능했다. 조직도와 정보보호 투자 현황, 교육 커리큘럼은 공개했지만 인력 규모와 IT 부문 직원 대비 정보보호 담당자의 비중 등을 알리지 않은 점은 아쉬웠다.

◇대표이사 직속 CISO·ISMS·DR 거버넌스 구축

롯데글로벌로지스는 대표이사 직속으로 정보보호 최고책임자(CISO)를 뒀다. 롯데글로벌로지스는 "정보보호 전담조직 운영을 통해 정보보호 기획, 운영, 사고대응, 보안 지침의 검토 등의 업무를 수행한다"고 밝혔다. 정보보호 관리 규정과 11개 세부 보안지침을 바탕으로 관리·기술·물리 보안을 나눠 담당 부서를 지정한 점도 특징이다.


정보보호 관리체계(ISMS) 인증은 2020년 취득 이후 3년 주기 갱신 심사와 연간 사후 심사를 통해 유지 중이다. 고객 개인정보·기밀정보는 암호화해 저장하고 데이터베이스(DB) 서버는 사전 승인된 관리자만 접근할 수 있도록 설계했다. DB·서버 접근제어 솔루션과 방화벽·웹방화벽·침입차단시스템(IPS), SSL 기반 통신 구간 보호 등 보안 인프라도 갖췄다.

2024년 정보보호 부문에 한 단계 더 진입한 것으로 보인다. 물리·기술 체계에 더해 재해복구(DR) 시스템 구축에 착수했다. 천재지변·화재·테러 등으로 인해 데이터가 손실되거나 서비스가 중단될 경우에도 SCM·글로벌·택배 시스템의 업무를 이어가기 위해서다. 국내외 거점과 창고, 항만·공항 권역을 아우르는 물류 회사라는 점을 감안하면 자생력을 키우는 것으로도 해석할 수 있다.

임직원과 파트너사를 대상으로 한 교육과 훈련 프로그램도 제시했다. 데이터 보안점검 활동을 통해 임직원의 자율점검 이행률은 2024년 96.3%로 확대됐다.

◇운송장 없는 택배 서비스 도입, 파트너사 관리 집중

운송사의 정보보안 사고 트리거 중 하나는 운송장이다. 개인정보 노출이 가장 쉽게 이뤄질 수 있는 장치다. 롯데글로벌로지스는 지난해 운송장 없는 택배 서비스를 도입했다. 택배 박스 테이프 표면에 운송장 정보를 직접 인쇄하는 방식이다. 종이 운송장 등이 남아 개인정보가 노출될 가능성을 줄인다.

회사는 개인정보를 위탁받아 처리하는 1000여개 파트너사를 대상으로 연 1회 보안점검을 실시하고 있다. 2024년 점검 참여율은 100%, 보안수준 충족 비율은 97.7%로 제시됐다.

점검 방식도 세밀하게 구축했다. 체크리스트 기반 서면 점검과 함께 보안 서약서·개인정보 파기 확인서를 징구한다. 미흡 사항에는 보안 가이드를 제공해 자율 개선을 유도하는 구조다. 신규 파트너사에는 개인정보보호 교육 자료, 내부관리계획·개인정보 처리방침 예시를 제공해 최소한의 관리 수준을 맞추도록 돕는 절차도 담겨 있다.