“세상엔 두 종류의 기업이 있다. 해킹을 당한 곳과, 아직 그 사실을 모르는 곳.” 세계적 보안업체 시스코의 진단이다. 완벽한 방어는 없으며 공격자는 결국 침투할 방법을 찾아낸다. 그래서 보안 전략의 근간은 기술이 아닌 프로세스에 있다. 조직 설계와 절차 개선, 꾸준한 투자가 끊임없이 순환하는 과정이다. 끝나지 않는 전쟁, 디지털 자산을 지키려는 기업들의 방패는 얼마나 견고할까. 더벨 SR(서치앤리서치)본부가 두드려봤다.
기아의 보안 과제는 두 갈래다. 기업 보안과 더불어 커넥티드카와 소프트웨어 기반 차량(SDV) 등 전례없이 많은 정보가 담긴 차량의 보안도 꼼꼼히 신경써야 한다. 현대차그룹은 스마트 모빌리티 시대에 맞춰 계열사의 정보보안 빗장을 단단히 걸어잠그고 있다. 기아도 전사 정보보안 체계를 현대차그룹 ICT 정책 이행 수준에 맞춰 운영한다.
지속가능경영보고서에서는 정보보안 관리체계를 주요 ESG안으로 제시했다. 조직은 CISO와 CPO를 각각 상무급 임원으로 두고 겸직 없이 운영한다. 글로벌 기업으로서 국제 표준에 맞춘 인증체계를 갖추고 정기적인 업데이트도 진행 중이다. 다만 인력 외주 비중이 높고 공시와 보고서를 통해 보안 성숙도를 파악하기는 어렵다는 것이 개선점으로 남는다.
◇정보보호 투자율은 국내 평균, 외주인력 비중은 숙제
한국인터넷진흥원(KISA) 공시에 따르면 기아의 2024년 정보기술부문 투자액은 3851억5367만원, 정보보호부문 투자액은 254억4719만원이다. 정보기술 투자 대비 정보보호 투자 비율은 6.6%로 나타났다. 같은 기간 국내 기업 평균인 6.29%와 비슷한 수준이다.
그래픽=제미나이로 생성한 이미지.
전담 인력의 비중은 무난하지만 구성은 숙제로 남는다. 공시에 따르면 정보기술부문 인력은 1562명 수준, 정보보호부문 전담인력은 98명 수준이다. 정보기술 인력 대비 전담인력 비중은 6.3%다. 전담인력 가운데 내부 인력은 28명, 외주 인력은 71명으로 외주 비중이 약 72%에 달한다.
투자 항목의 성격도 이를 뒷받침한다. 기아는 주요 투자 항목으로 보안 전산장비 유지보수비, 보안관제 및 보안 소프트웨어 유지보수를 위한 외주용역비 등을 기재했다. 시스템 개선보다는 유지보수와 외주용역에 비중이 쏠렸다.
정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)는 상무급 임원으로 공시했다. 겸직하지 않는다. 내부에서 선임된 임원급 관리자가 있고 조직이 분리돼 있지만, 전담인력 구성에서 외주 의존도가 높다는 점은 보안 역량의 내재화와 독립성 측면에서 과제로 분석된다.
◇CEO 성과평가에 반영, CISO·CPO 전담조직 분리
기아는 정보보안 성과를 CEO의 성과평가 지표(KPI)에 연결하고 있다고 밝혔다. 보안수준 진단 결과와 현대차그룹 ICT 정책 이행 수준을 본다. 보안을 단순한 항목으로 보지 않고 경영의 지표까지 끌어올린 셈이다.
조직 구조는 CISO와 CPO 각각의 전담조직으로 구성됐다. 정보보호 전담조직은 정책 수립, 보안시스템 운영, 정보시스템 점검과 개선, 사고 대응, 해외 정보보호 관리, 정보주체 권리보장 역할을 수행한다고 적었다.
CISO는 통합보안센터 산하 기아정보보호센터로 뒀다. CPO는 경영지원본부 아래 개인정보보호팀으로 운영한다. 또 CISO와 CPO 임명 조건에 정보보호 및 개인정보보호 업무 수행 경력을 요구하고, 부문별 보안담당자로 정보보호위원회를 구성해 전사적인 보안 이슈와 동향 교육을 실시한다고 밝혔다.
개인정보는 CPO가 관리한다. 연 1회 전사 개인정보보호위원회를 운영해 전사 개인정보 처리와 주요 서비스 운영 부문을 대상으로 주요 안건을 결정한다고 했다. 개인정보처리방침은 매월 정기 업데이트하며 2024년 고객 데이터의 목적 외 사용 건수는 0건이다.
◇'CSMS' 인증 포트폴리오 확대…성숙도 나타낼 공시 체계 구축해야
기아는 차량 사이버보안 관리체계(CSMS)를 취득해 보유하고 있다. 또 소프트웨어 업데이트 관리체계 인증인 SUMS와 ISMS도 갖췄다. 주요 인증 체계의 유효기간은 2027년으로 갱신도 꼼꼼하게 이어오고 있는 것으로 보인다.
투자금을 활용한 활동도 여러 방면에서 활발하게 진행 중이다. 전산망 접근통제 NAC 고도화, BAS 체계 구축, 피싱메일 모의훈련 플랫폼 도입, 글로벌 위협 모니터링 플랫폼 구축, 보안권한신청시스템 SRMS 개편, 공장 침입탐지 IDS 구축, 산업제어 ICS 백신 인프라 확대, 사기메일 방어시스템 도입, PBV Plant 보안 솔루션 구축 등이 포함됐다.
교육과 점검도 병행한다. 분기별 피싱메일 모의훈련, 취약점 점검과 모의해킹, 정보보호 수준진단, 개인 위치정보 실태점검, 수탁사 점검, 협력사 점검과 교육 활동 등을 명시했다.
ESG 공시도 강화되고 있다. 지속가능경영보고서에서 기아는 2024년 정보보안 사고 발생 건수가 없었다고 명시했고 교육 실적도 수치로 제시했다. 일반직 대상 교육 누적인원은 23만1727명, 신입사원 교육은 451명 수준이며 2025년에는 일반직 교육 시행 횟수를 25회로 제시했다.
다만 공시를 통해 CISO와 CPO의 역할을 확인하기는 용이했지만 활동의 결과를 정량적으로 파악하기는 어려웠다. 보고 체계와 예산의 편성, 보안 리스크 발생시 대응 방안 등 다른 기업들이 명시해둔 내용이 빠져있다.
또 투자 세부 집행의 방향, 리스크 수준을 보여주는 정량 지표나 대응 속도나 통제 성숙도를 드러내는 수치 등은 부재했다. 체계를 잘 갖춘 만큼 운영 성과를 나타내는 공시 체계를 구축해야할 것으로 진단된다.
행동주의 개입 명분 만드는 역설
