토요타는 최근 보안사고에 쉼없이 시달렸다. 피해 지역은 국내외를 가리지 않았으며 규모도 다양했다. 이때마다 토요타는 사과와 재발방지책 약속을 반복해왔다.

문제의 근원은 토요타 정보보안 거버넌스 체제로 분석된다. 토요타그룹의 정보보안 거버넌스는 ‘분산자율’로 요약할 수 있다. 그룹사 차원에서 핵심적인 지침을 세우고 나면 실제 이행은 각 자회사나 관계사의 자율에 맡겨져 있다. 이 체제를 상당 기간 유지해왔다.

그러나 지속적인 문제 발생에도 토요타는 기존의 틀에 변화를 주지 않고 있다.

◇ 끊임없는 정보보안 사고, 해외 고객까지 피해

토요타그룹에선 최근 정보보안 사건사고가 끊이지 않으면서 체제의 허점이 드러나고 있다.

우선 토요타그룹의 웹사이트 개발 위탁사가 소스코드의 일부를 오설정해 데이터서버가 공개되어 있던 사실이 2022년 드러났다. 조사 결과 2017~2022년에 걸쳐 약 30만 건의 고객 메일주소가 노출됐던 것으로 밝혀졌다.

토요타클라우드를 관리하는 서버의 설정 오류로 인해 약 215만 건의 고객정보가 2013~2023년에 걸쳐 사실상 무방비 사태로 노출되어 있던 사실도 2023년에 탄로났다. 이 사태를 조사하는 과정에서 일본 뿐 아니라 아시아와 오세아니아 지역 고객들의 정보 약 26만 건도 8년 동안 노출돼 있던 것으로 파악됐다.

토요타 미국지사로부터 약 240기가바이트(GB) 규모의 데이터가 도난당해 다크웹에 공개되었을 가능성도 2024년 8월에 제기됐다. 토요타 직원이 USB를 분실해 전현직 임직원과 입사지원자의 개인정보 약 9489건이 유출됐을 가능성도 2024년 11월에 제기됐다.


토요타그룹은 사고가 발생할 때마다 재발방지책을 약속했는데 체제 전반에 대한 개선보다는 개별적인 해결책 마련에 중점을 두고 있다.

예를 들어 위의 USB 사건에서 토요타는 "임직원에 대한 철저한 교육은 물론 이번 사건에서 문제가 되었던 USB와 같은 저장장치는 앞으로 사용제한을 검토하겠다"고 밝혔다.

토요타는 정보보안 투자에 조단위를 투입하는 것으로 추정된다. 글로벌 컨설팅 기업인 글로벌데이터(GlobalData)에 따르면 2024년 토요타의 정보기술(ICT) 투자액은 111억달러로 집계됐다. 자동차 업계가 통상 ICT 투자액 중 5~10%를 정보보안에 투자한다는 점에서 토요타의 정보보안 투자액 추정치는 8000억~1조6000억원(6억~11억달러)에 이른다.

◇ 분산자율형 정보보안 체계, 기본방침 설정 뒤 개별 자체점검

토요타는 분산자율형 정보보안 체계를 시행하고 있다. 올해 10월 토요타가 작성한 지속가능성 데이터북에 따르면 토요타는 크게 정보시큐리티와 프라이버시의 두 부문을 나누어 방침을 설정하고 있다. 정보시큐리티 부문은 회사 내부의 데이터를 보호하기 위함이며 프라이버시는 고객 개인정보의 유출을 차단하는 목적이다.

우선 정보시큐리티 부문에서 토요타는 보호 범위를 ‘공급망 전체’로 확장해 사이버 공격와 위협으로부터 정보자산을 지키는 것을 목표로 내걸었다. 이를 위해 ‘정보시큐리티 기본방침’을 정했다.

이 기본방침은 우선 이사회 내부의 ‘정보품질추진회의’가 세부 분야별로 나누어 적용 방안을 검토한다. 회의는 또한 중대 사고 발생시 사태을 신속히 파악해 이사회와 경영진에 보고하는 역할을 담당한다.

이 회의를 거치면서 정보시큐리티 기본방침은 ‘ATSG(All Toyota Security Guideline)’로 구체화된다. ATSG는 ISO 27001/27002, 미 국립표준기술연구소 사이버 보안 프레임워크 등 글로벌 표준에 맞춰져 있다.

이후 토요타는 ATSG를 그룹의 자회사, 판매점, 렌탈·리스 점포 등에 하달해 이에 따른 연 1회 점검을 요청한다. 이들은 자체적인 점검을 실시한 뒤 본사에 결과를 보고하며 본사는 다시 개선점을 조언하는 식이다.

프라이버시 부문의 경우 ‘개인정보보호에 관한 기본방침’이 설정돼 있다. 마찬가지로 정보품질추진회의가 이를 각 분야별로 나눠 이행방안을 결정한 뒤 ‘TGPG(Toyota Global Privacy Guideline)'를 각 자회사에 하달한다. 자회사는 연 1회 TGPG에 의거한 자기평가를 거치며 이를 보고받은 그룹이 다시 개선방안을 전한다.
◇ 취약성 드러낸 거버넌스, 체제 변혁에 소극

다만 지나치게 자율성에 치우친 결과 최근 정보보안 사태가 이어지는 것으로 분석된다. 실제로 최근 토요타그룹에 대한 사이버 공격은 본사보다는 지사나 관계사에 집중돼 있다.

토요타그룹의 기업전용 렌트카 서비스인 부킹카(Booking Car)의 서버에서 부정침입이 확인돼 약 2만5000명 분의 고객 개인정보가 2020년 11월부터 줄곧 노출됐을 가능성이 있던 것으로 2024년 2월 드러났다. 노출된 정보의 종류는 메일주소, 사원번호, 전화번호, 부서코드, 행선지 등 17항목에 이르는 것으로 나타났다.

2022년 2월에는 토요타의 공급망에 속한 부품회사 코지마프레스가 사이버 공격을 받아 일본 내 토요타의 모든 공장마저 하루동안 작업이 정지되는 사태가 벌어졌다.

그럼에도 토요타는 현재의 자율분산형 거버넌스 체제를 바꾸려하지 않고 있다. 오히려 사태가 발생할 때마다 자회사나 관계사에 개별적으로 정보보안 점검을 재차 지시하는 모습을 반복해서 보인다.

예를 들어 위 클라우드 사태에서 토요타는 "위탁사에 대해 재발방지책의 실시를 지시한 뒤 실시상황에 대한 정기보고와 개인정보 보호수준에 대한 점검을 지시했다"고 밝혔다.

지금처럼 공급망 말단에 대한 공격이 빈번한 상황에서 일본 전문가들은 제로트러스트 체제 도입이 시급하다고 평가한다. 본사의 정보보안이 완벽하다 해도 거래처나 공급망 단위에서의 침입이 전체 리스크로 비화될 가능성이 존재한다는 것이다.