폭스바겐그룹은 정보보안과 사이버 리스크를 주요 경영 과제로 인식하고 있다. 다만 정보보안 거버넌스를 외부에 드러내는 방식은 한국 기업들과 결이 다르다. 투자액이나 인력 규모 공개보다는 국제 표준과 산업 공통 평가체계를 중심으로 한 관리 구조를 강조하는 방식이다.

폭스바겐그룹의 2024년 연차보고서에 따르면 그룹은 정보기술(IT)을 디지털 전환과 사업 경쟁력을 좌우하는 핵심 기능으로 규정하고 있으며 정보보안은 그 전제 조건으로 명시돼 있다. 보고서는 IT 환경의 복잡성과 연결성이 확대되면서 사이버 공격, 데이터 유출, 시스템 장애가 그룹 전체의 사업 연속성에 중대한 영향을 미칠 수 있는 리스크다. 이에 따라 정보보안은 단순한 기술 문제가 아니라 그룹 차원의 리스크 관리 영역으로 다뤄진다.

◇ 그룹 단위 보안 프로그램…공급망까지 관리 범위 확장

폭스바겐그룹의 정보보안 거버넌스를 종합하면 공개 전략의 중심은 명확하다. 투자·인력·책임자 실명을 공개하는 대신 국제 표준(ISO 27001), 산업 공통 평가체계(TISAX), 공급망 보안 요구사항 등 시스템과 구조를 통해 보안 수준을 설명한다.

폭스바겐그룹은 그룹 정보보안 프로그램(Group Information Security Program)을 통해 정보보안을 그룹 차원에서 통합 관리하고 있다. 이 프로그램은 전 세계 사업장과 브랜드에 공통적으로 적용되는 보안 프로세스와 기술적 기준을 개발·운영하는 것이 목적이다. 디지털 전환 과정에서 발생하는 보안 리스크를 조기에 식별하고 표준화된 솔루션을 통해 그룹 전체의 보안 성숙도를 일정 수준 이상으로 유지하겠다는 취지다.

특히 폭스바겐그룹의 정보보안 전략에서 가장 두드러지는 부분은 공급망 관리다. 연차보고서는 협력사와 외부 파트너가 자동차 산업 전용 정보보안 평가체계인 TISAX(Trusted Information Security Assessment Exchange)를 충족해야 한다고 명시한다.

이는 완성차 제조사 내부뿐 아니라 협력사가 처리하는 개발 정보와 고객 정보, 생산 관련 데이터까지 보호 범위에 포함시키겠다는 의미다. 폭스바겐의 정보보안 거버넌스가 그룹 내부를 넘어 공급망 전반으로 확장돼 있음을 보여주는 대목이다.


◇IT 보안 넘어 제품 안전으로 확장된 사이버보안 인식

연차보고서와 지속가능경영보고서를 함께 보면 폭스바겐그룹은 사이버보안을 전통적 IT 보안 영역에 한정하지 않는다. 사이버보안은 차량의 전자·소프트웨어·연결 기능과 맞물린 제품 안전의 일부로 규정돼 있다. 보고서에 따르면 폭스바겐그룹은 보안 취약점이 발생할 경우 고객의 안전과 건강에 부정적 영향을 미칠 수 있는 리스크라고 인식하고 있다.

사이버보안 대응 방식 역시 제품 안전 체계 안에 포함돼 있다. 고객이나 외부 보안 연구자는 차량 및 서비스의 보안 취약점을 브랜드별로 마련된 전용 채널을 통해 신고할 수 있다. 접수된 취약점은 각 브랜드의 절차에 따라 검토되며 필요 시 차량 보안 사고 대응 프로세스(CSI)를 거쳐 조치된다.

폭스바겐그룹의 연차보고서를 보면 사이버보안과 정보보안은 단일 조직이 전담하는 구조가 아니다. 대신 차량 안전과 사이버 리스크를 분리·연결해 관리하는 복수의 전담 기구가 존재한다. 우선 폭스바겐그룹은 차량 안전과 보안 이슈를 다루는 내부 연구·관리 구조로 AKS를 두고 있다. AKS는 차량의 기술적 안전성과 보안 리스크를 검토하는 체계로 사이버보안 취약점 역시 차량 안전 관점에서 함께 다뤄지는 구조다.

사이버보안 관리체계 측면에서는 ACSMS가 언급된다. ACSMS는 차량 사이버보안을 체계적으로 관리하기 위한 것으로 보안 요구사항 정의와 관리, 대응 절차를 포함하는 관리체계다. 폭스바겐 그룹은 사이버보안을 IT 부서의 개별 대응이 아니라 자동차 산업 특성에 맞춘 관리 시스템으로 운영하고 있다.

시장에 출시된 차량과 관련한 안전·보안 이슈의 최종 판단과 조치는 APS가 담당한다. APS는 제품 안전과 관련된 사안을 종합적으로 검토해 필요한 조치를 결정하는 기구다. 사이버보안 취약점 역시 제품 안전 이슈의 하나로 이 위원회에서 논의된다.

보안 취약점 대응 결과는 단발성 조치에 그치지 않는다. 보고서에 따르면 사이버보안 사고에서 도출된 결과물은 제품개발 프로세스로 편입돼 향후 차량 및 시스템 설계에 반영된다.

◇ ISO 27001 기반 관리체계, 시스템 중심 공개 전략

폭스바겐그룹의 정보보안 관리체계는 국제 표준과도 연계돼 있다. 공개된 인증 정보에 따르면 폭스바겐 AG(본사)는 ISO/IEC 27001 정보보안 경영시스템 인증을 취득해 운영 중이다. 이를 통해 정보보안 정책, 접근권한 관리, 보안 운영, 사고 대응 체계 등이 국제 기준에 맞춰 관리되고 있음을 외부에서 검증받는다.

다만 연차보고서와 공식 공개 자료에서는 정보보안 투자액, 전담 인력 규모, 보안 조직의 세부 구성 등 정량적 정보는 확인되지 않는다. 폭스바겐그룹은 개인정보보호와 관련해 그룹 차원의 데이터보호책임자(DPO)를 공식 웹사이트 개인정보 처리방침을 통해 명시하고 있다. 폭스바겐그룹이 공개한 이사회 구성원 약력과 연차보고서, 공식 홈페이지 기준으로 보면 이사회 내에 정보보안 또는 IT를 전문 분야로 명시한 이사는 확인되지 않는다.

현재 이사회 구성원들은 제조·엔지니어링, 재무, 노무, 법률, 노사관계, 경영관리 분야 경력을 중심으로 구성돼 있다. 일부 이사는 디지털 전환이나 기술 전략을 경영 의제로 다뤄온 경험을 보유하고 있지만 CISO 출신이거나 정보보안·IT 전문가로서의 이력을 전면에 내세운 인물은 공개 자료상 존재하지 않는다.

이는 폭스바겐그룹이 정보보안 거버넌스를 특정 전문가 개인의 이사회 참여보다는 집행 조직과 관리체계, 표준화된 프로그램을 통해 운영하는 구조를 택하고 있음을 시사한다. 다시 말해 이사회 차원에서 보안 전문가 1인에 의존하기보다는 그룹 단위 프로그램과 인증 체계를 통해 통제력을 확보하는 방식이다.