현대글로비스는 현대차그룹의 물류·해운 컨트롤타워다. 대규모 자동차 운반선(PCTC) 선대를 필두로 조립용부품(CKD)과 철강·원자재 운송을 아우른다. B2C 택배사와 달리 어디로 무엇을 보내느냐의 정보값으로도 곧 기업의 생산과 수출 전략이 파악된다. 또 현대글로비스가 그룹사 밖 고객인 비계열 매출액을 점진적으로 확대해온 만큼 해외 굴지의 완성차 기업 물량도 책임지는 중이다.

현대글로비스는 이런 사업 구조를 전제로 정보보호 관리체계와 사이버 관제 조직을 꾸리고 있다. 지난해 말 기준 IT 예산 대비 정보보호 투자비율은 9.1%로 운송업 톱티어다. ISMS 등 기본적인 정보보호 관리체계와 더불어 이메일·웹·DB 보안을 아우르는 관제 조직과 AI 기반 위협 분석 시스템 도입까지 검토하며 글로벌 해운·물류업 위상에 맞는 보안체계를 구축 중이다.

◇차량·운반정보 동시 취급, 영업·공급망 정보 안전망은

현대글로비스는 지속가능경영보고서를 통해 2025년과 2028년, 그 이후의 정보보안 목표를 공개했다. 구체적인 중장기 목표로 밝힌 부문은 공급망 보안수준 강화다. 그만큼 현대글로비스가 다루는 공급망 정보가 많고, 단계가 여럿이라는 의미다. 선제적으로 보안취약점을 찾아 관리 체계를 수립한다는 계획이다.

현대글로비스가 다루는 운송 정보에는 자동차 공장의 생산·출고 시스템, 항만의 터미널 운영시스템(TOS), 선박 운항관리 시스템, 글로벌 창고의 WMS(창고관리시스템) 등의 데이터가 포함돼 있다.

때문에 보호해야할 정보의 대상이 무척 폭넓다. 개인정보를 포함해 선박별·항로별 운항 계획, 선적된 차량·자재 정보, 해외 거점의 재고 현황, 고객사 생산 계획과 연계된 발주 데이터 등 B2B 정보의 비중이 크다.

정보를 탈취하려는 외부인도 그만큼 많아질 수밖에 없다. 해커들의 공격으로 기업이 베일에 가려둔 생산·판매 계획이 알려질 가능성이 있다. 특정 완성차 모델의 수출 물량, 특정 제철소의 공급 스케줄 등 민감한 B2B 정보까지 연쇄적으로 공개될 수 있는 구조다.

올해까지 27종의 필수 보안솔루션을 구축한다. 본사와 해외 15개 법인이 대상이다. 또 해외법인 보안 전담 인력을 확보하고, 국내외 보안 KPI를 운영하기로 했다.

◇투자액·투자율 모두 확대, 운송업계 톱티어


한국인터넷진흥원(KISA) 공시에 따르면 현대글로비스의 2024년 말 기준 IT 예산 대비 정보보호 부문 투자액은 9.1%로 집계됐다. 전체 정보기술부문 투자액은 629억원으로 이중 57억원을 정보보호 부문 투자에 썼다. 2021년부터 2023년까지 7%대 투자액을 유지하다가 지난해 9%로 확대했다.

투자액 감소에 따른 착시도 아니다. 절대 투자액도 늘었다. 정보기슬부문 투자액은 2021년 320억원에서 629억원으로 증가했다. 같은 기간 정보보호 부문 투자액은 22억원에서 57억원으로 순증했다. 운송업계 상위권으로 꼽히는 CJ대한통운이 같은 기간 7.1%의 비율을 나타냈다.

IT 인력 대비 정보보호 부문 전담자의 비중은 5.7%다. 2021년부터 지난해까지 4년간 5%대 비중을 유지했다. 다만 실제 인원이 10명 아래로 작은 수의 변화에도 수치 변화가 크게 나타날 수 있다. 정보보안시스템(ISO27001) 인증 등 필수적인 보안 체계도 마련하고 있다. 2008년 최초로 취득한 후 지속적으로 갱신 받고 있다.

CPO는 조병인 HR지원실장이 맡고 있다. CISO 직책은 팀장으로 임원은 아니다. 최근 3년간 정보보안 침해 사례는 0건으로 기재됐다.

◇그룹 공통 CISO 원칙…글로벌 사업 비중도 변수

큰형님 현대자동차의 사이버보안 체계는 그룹 공통의 지향점으로 볼 수 있다. 현대차는 정보보호최고책임자(CISO) 지정과 겸직 금지 원칙, 비즈니스 연속성 계획(BCP)과 연계된 사고 대응 체계 등을 공통 기준으로 명시했다. 완성차·금융·철강·물류 계열사가 같은 원칙을 따르고자 한다.

현대글로비스의 거버넌스 체계를 보면 대표이사 아래 수직구조가 형성돼 있다. 정보보안 최고책임자에서 전사보안담당관과 정보보안 담당자가 각각 업무를 맡는다. 정보보호위원회를 운영하는 한편 부서별로도 보안담당자를 배치해 뒀다.

글로벌 사업 비중이 높은 점도 보안 관점에서 변수다. 현대글로비스는 유럽·미국·중국·동남아 등 각 거점에서 해운·포워딩·내륙운송을 동시에 운영하고 있다. 국내 본사 시스템과 해외 법인의 시스템, 고객사·파트너사의 시스템이 연결된 구조다. 그룹 차원의 보안 정책과 로컬 규제를 동시에 맞춰야 한다.

현대글로비스는 2028년까지 공급망 내 보안의 취약점을 사전 예방하는 등의 관리 체계를 수립하고 향후 AI나 머신러닝 기반의 보안시스템을 도안하기로 했다. 국제 표준인증 해외법인을 확대하고 모니터링 중심의 보안정책으로 전환할 계획이다.