LX판토스는 글로벌 물류 사업을 영위하는 기업 특성상 대규모 고객 정보와 물류 데이터를 상시적으로 처리한다. 이에 따라 정보보안과 개인정보보호를 주요 비재무 리스크로 분류하고 관련 관리체계를 고도화해 왔다. 다만 정보보호 관련 비용과 인력을 공시하고 있지는 않다.

LX판토스의 정보보안 전략은 대규모 투자 확대보다는 다중 인증 체계 유지, 글로벌 사업장으로의 관리 범위 확장, 그리고 내부 거버넌스 구조의 정형화에 초점이 맞춰져 있다. 물류 산업 특성상 산업별·국가별 보안 요구가 상이한 만큼 향후에도 인증 확대와 리스크 관리 범위 조정 여부가 정보보안 거버넌스의 주요 점검 대상이 될 것으로 보인다.

LX판토스의 2023~2025년 지속가능경영보고서를 종합하면 LX판토스의 정보보안 전략은 정량적 투자 확대보다는 관리체계 유지와 인증 범위 확장에 초점이 맞춰져 있다.

LX판토스는 정보보안과 개인정보보호 관련 인증을 유지하고 있다. 국내 인증으로는 2019년 최초 취득한 ISMS-P(정보보호 및 개인정보보호 관리체계)를 기준 연도 이후 지속적으로 갱신하고 있으며 2024년에도 재취득을 완료했다. 글로벌 기준으로는 ISO/IEC 27001(정보보안 관리체계)을 2013년부터 보유 중이다. 인증 범위는 국내 사업장뿐 아니라 주요 해외 법인으로 확대돼 있다. 이와 함께 물류 보안에 특화된 ISO 28000과 운송자산 보안 인증인 TAPA FSR도 유지하고 있다.

2024년에는 자동차 물류 고객을 대상으로 한 보안 요구에 대응하기 위해 TISAX(자동차 공급망 정보보안 인증)를 새롭게 취득했다. TISAX는 독일자동차산업협회(VDA)가 관리하는 국제 인증으로 자동차 전장 부품 및 관련 물류 과정에서의 정보보호 수준을 평가한다. LX판토스는 해당 인증을 전장 물류 서비스 영역에 적용하고 있으며 기존의 범용 정보보안 인증 체계에 산업 특화 요건을 추가한 사례로 분류된다.

정보보안 거버넌스 측면에서는 최고경영자(CEO)를 위원장으로 하는 정보보호위원회를 중심으로 관리체계를 운영하고 있다. 정보보호위원회는 보안 및 개인정보보호 관련 주요 정책과 대응 방향을 심의·의결하는 역할을 맡는다. 실무 차원에서는 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 포함한 정보보호 실무협의체가 구성돼 있으며 각 부서 담당자 간 협의를 통해 보안 이슈와 침해사고 대응 사항을 공유한다.


LX판토스는 기밀 정보 유출 사고를 예방하고 효과적으로 대응하기 위해 정보보안 사고 발생 관련 사전 대응 계획(IRP)를 마련하고 있다. 정보보안 침해 사건이나 보안 위반이 발생하게 되면 사전에 마련된 침해 사고 대응 매뉴얼과 내부 지침에 따라 대응한다. 또한 LX판토스는 승인되지 않은 접근으로부터 데이터를 보호하기 위해 보안 관제 시스템을 운영하고 있다.

국내와 더불어 주요 해외법인을 관리하기 위해 해외 보안관리 조직을 구성하고 있다. 해외 법인이 해당하는 지역의 컴플라이언스 요구사항을 분석하고 있다고 설명했다. 본사 해외 보안관리 부서와 각 지역 보안관리 부서는 정기적으로 업무 현황을 교류하며, 보안 컴플라이언스 분석, 보안 리스크 관리 및 사고대응체계 운영, 글로벌 보안 인증 취득 등을 수행하고 있다.


보고서상 LX판토스는 정보보안 전담 조직의 인원 수나 정보보호 투자 금액을 별도로 공시하지 않았다. 임직원을 대상으로 한 정보보호 교육은 정례적으로 시행되고 있다. 교육 내용에는 개인정보보호 기본 원칙, 관련 법령 개정 사항, 정보보안 사고 예방을 위한 실무 지침 등이 포함된다. 신규 입사자와 경력 입사자를 대상으로 한 별도 교육 과정도 운영 중이다.

리스크 관리 측면에서 LX판토스는 연 1회 이상 정보보안 리스크 평가를 수행하고 있다. 업무 프로세스와 정보시스템 전반을 대상으로 잠재 위험을 식별하고 평가 결과를 기반으로 관리 대책을 보완하는 방식이다. 물류 업무 특성상 다수의 수탁사와 협력사가 관여하는 만큼 수탁사의 개인정보 처리 실태 점검과 사후 관리도 병행하고 있다.