“세상엔 두 종류의 기업이 있다. 해킹을 당한 곳과, 아직 그 사실을 모르는 곳.” 세계적 보안업체 시스코의 진단이다. 완벽한 방어는 없으며 공격자는 결국 침투할 방법을 찾아낸다. 그래서 보안 전략의 근간은 기술이 아닌 프로세스에 있다. 조직 설계와 절차 개선, 꾸준한 투자가 끊임없이 순환하는 과정이다. 끝나지 않는 전쟁, 디지털 자산을 지키려는 기업들의 방패는 얼마나 견고할까. 더벨 SR(서치앤리서치)본부가 두드려봤다.
BMW 커넥티드 드라이브는 자동차를 무선통신망에 연결해 각종 정보와 소프트웨어(SW)를 전송·수신하는 기술이다. BMW가 이 기술에 입문한 지는 30년에 가깝고 차종에 직접 접목해 출시한 지는 10년이 넘게 흘렀다. 그만큼 완성차 기업이지만 데이터를 다루는 일에도 베테랑이 됐다.
BMW는 정보보안 안건을 이사회에서 정기적으로 다룬다고 밝혔다. 이 안건조차 정보보안 수준이 매우 높은 디지털 보드룸을 통해 공유된다. 최고정보보안책임자(CISO) 격인 DPO(Data Protection Officer)를 별도 운영 중이다. 정보보안 법령은 엄격한 유럽연합(EU) 기준에 따른다. 특히 개인정보가 몰려있는 차량 데이터 부문에서는 각 단계에서 정보를 어떻게 처리하는지 설계도도 공개한다.
◇정보보안 정기 이사회 안건으로, 감독이사회·감사위원회 재점검
BMW의 2024년 연간 거버넌스 보고서와 연간 이사회 활동 보고서에는 정보보안 거버넌스를 구체적으로 밝혀뒀다. 경영이사회가 효과적이고 적정한 내부통제시스템과 리스크관리시스템을 갖춰야 한다고 명시했다. 여기에는 재무보고뿐 아니라 비재무 핵심지표 보고, 준법경영, 내부감사와 정보보안이 포함된다.
눈에 띄는 대목은 정보보안의 위상이다. BMW는 경영이사회 회의에서 그룹 리스크 전략을 정기적으로 점검하며 내부통제시스템, 리스크관리시스템과 마찬가지로 정보보안을 정기적으로 다루고 있다고 적었다. 개별 이슈가 아니라 정보보안 안건 자체를 다루는 구조다.
그래픽=제미나이로 생성한 이미지.
정보보안 활동은 감독이사회와 감사위원회에 보고된다. 독일은 이원이사회제를 채택하고 있다. 경영을 맡는 집행이사회(Vorstand)와 이를 견제하는 감독이사회(Aufsichtsrat)가 제도적으로 분리돼 있다. BMW도 이 제도를 따른다.
감독이사회와 감사위원회는 리스크 관리 시스템(RMS)과 내부통제 시스템(ICS)을 정기적으로 점검한다. 정보보안과 사이버 보안 리스크는 핵심 리스크로 구분해 관리하고 있다.
감사위원회는 연간 8차례의 회의를 진행했다. 주요 안건 중 하나가 정보보안이었다. GDPR(유럽 개인정보보호법) 등 글로벌 법령 준수사항 등을 논의했다. 커넥티드 카(Connected Drive) 기능에 주목해 차량 자체의 사이버 보안(Vehicle Cybersecurity)도 강조했다.
정보보안의 실무부터 관리까지 내재화돼 있다는 의미다. 외주 비중이 높은 국내 완성차 기업들이 참고할 만한 선례다. 또 BMW는 이사회의 안건을 보안성이 매우 높은 디지털 보드룸을 통해 전달한다. 정보보안과 관련한 회의를 할 때 이 회의의 세부 내용까지도 보안하는 셈이다.
◇'강력한 규제' GDPR 준수·DPO 부서 배치
EU는 별도의 개인정보 보호법인 GDPR(General Data Protection Regulation)을 운영 중이다. BMW는 홈페이지 내 정보보안 항목에서 GDPR 규정 중 특히 어떤 내용을 집중적으로 준수하고 있는지 정리해 뒀다. 데이터의 정정과 삭제부터 정보이전과 처리 등에 대한 이의 제기권 등이다.
CISO와 같은 역할의 DPO 부서를 배치하고 연락처와 주소를 모두 공개한다. BMW는 보고서를 통해 "그룹 데이터보호 부서는 신규 프로젝트에 대해 자문하고, 데이터보호 요건 준수 여부를 검토하며 프로세스 감사를 수행한다"며 "차량 연결성이 확대되면서 발생하는 근본적 데이터보호 이슈를 다룰 때는 특히 관련 데이터보호 감독당국과 긴밀히 협력한다"고 적었다.
글로벌 각지 영업망과 법인에는 개별 고객데이터담당자(Customer Data Delegate)를 뒀다. 2026년 목표로 부서별 IT 보안을 위한 팀 구성과 데이터 정보보안을 위한 교육, 정보주체 권리에 관한 데이터보호 프로젝트, 정기적인 글로벌 CDD 워크숍 등을 명시했다.
영업망뿐 아니라 디지털 채널도 다변화돼 있다. BMW 및 MINI 웹사이트와 My BMW 및 MINI 앱과 같은 디지털 커뮤니케이션 채널이다. 각각 구체적인 데이터보호 가이드라인을 정비해 뒀다고 BMW는 설명했다.
◇차량보안, 데이터 경로마다 안전장치 마련
BMW는 차량 데이터가 거쳐가는 모든 통로에 보안책을 설계했다. 전사적 보호 책임도 명시하고 있다. '커넥티드드라이브' 백엔드나 제3자 서비스 연결 시 BMW가 직접 통제한다. 또 BMW 카데이터(CarData) 항목을 보면 정보를 받는 제3자인 계약업체의 데이터 처리 과정까지 엄격히 관리한다고 적시했다.
기술적 핵심은 ISO 20078 표준 기반의 '확장 차량(Extended Vehicle)' 접근 방식이다. 전용 게이트웨이를 통해 인터넷 접속을 걸러낸다. 외부 위협이 내부 시스템에 침투하지 못하도록 하는 장치다.
UN의 사이버보안 법규인 UN R155가 전세계적으로 의무화된 환경에서 보안 규정도 충족하는 토대가 됐다. 차량의 소유주가 자신의 정보를 완전하게 통제할 수 있는 권한도 부여했다고 BMW는 부연했다.
행동주의 개입 명분 만드는 역설
