제너럴 모터스(GM)는 정보보안과 사이버보안을 기업 운영과 제품 안전 전반에 걸친 관리 과제로 다루고 있다. GM이 공개한 연차보고서와 ESG·지속가능경영 관련 자료를 보면 사이버보안은 단순한 IT 보안 항목이 아니라 차량 안전과 고객 보호, 기업 리스크 관리 체계의 일부로 다뤄지고 있다.

GM의 연차보고서에 따르면 디지털 기술과 소프트웨어가 차량과 사업 전반에서 차지하는 비중이 확대됨에 따라 사이버 리스크를 주요 경영 리스크 중 하나로 인식하고 있다. 커넥티드 서비스, 소프트웨어 업데이트, 데이터 기반 서비스 확대는 정보 유출이나 시스템 장애가 기업 운영과 고객 안전에 직접적 영향을 미칠 수 있는 환경을 만들고 있다는 점이 보고서에서 언급된다.

이사회에서도 정보보안의 중요성을 엿볼 수 있다. GM은 리스크 및 사이버보안을 전문으로 다루는 소위원회를 두고 있다. 감사위원회도 해당 이슈를 다룬다.

◇차량·제품 영역으로 확장된 사이버보안 범위

GM은 사이버보안을 전사적 리스크 관리 체계 안에서 관리하고 있다. 연차보고서의 리스크 관리 관련 항목에 따르면 사이버 공격, 데이터 침해, IT 시스템 장애 등은 기업 전반의 운영 안정성과 재무 성과에 영향을 미칠 수 있는 요소로 분류된다. 이러한 리스크는 내부 통제 및 리스크 관리 프로세스를 통해 정기적으로 점검되며 경영진과 이사회에 보고되는 구조다.

공시에서 사이버보안 투자액이나 전담 인력 규모와 같은 정량 정보는 공개되지 않는다. 대신 GM은 사이버보안 관리가 기업 리스크 관리 프레임워크에 포함돼 있다는 점과 관련 정책과 절차가 운영되고 있다는 점을 중심으로 설명한다.

GM의 ESG 및 지속가능경영 관련 자료를 보면 사이버보안은 기업 내부 IT 시스템 보호에 그치지 않고 차량과 제품 안전 영역까지 포함된다. GM은 차량의 전자 시스템과 소프트웨어, 연결 기능에서 발생할 수 있는 보안 취약점을 제품 안전과 직결된 요소로 다루고 있다.

보고서에는 차량 사이버보안이 고객의 안전과 직결될 수 있다는 인식이 명시돼 있다. 이와 관련된 관리 체계가 제품 개발과 운영 과정에 반영되고 있다. 이는 사이버보안이 IT 부서의 기술적 대응을 넘어 차량 설계와 품질 관리의 일부로 관리되고 있음을 보여준다.

사이버보안 이슈는 공시와 각종 보고서 기준으로 볼 때 CIO 소관이다. GM은 정보보안과 사이버 리스크를 IT 운영과 내부통제의 일부로 설명한다. 실제로 사이버보안은 기업 전반의 IT 리스크, 데이터 보호, 시스템 안정성과 함께 관리되며 CIO 체계 아래에서 관련 정책과 통제가 이뤄지는 구조다.

GM은 공개 자료에서 차량 및 제품 사이버보안을 담당하는 전담 조직의 존재도 명시하고 있다. 제품 사이버보안(Product Cybersecurity), 자동차 사이버보안(Vehicle Cybersecurity)과 같은 부서는 차량 설계와 개발, 운영 과정에서 발생할 수 있는 사이버 리스크를 관리하는 역할을 수행한다. 이와 별도로 기업 차원의 IT 및 엔터프라이즈 보안 조직은 내부 시스템과 데이터 보호를 담당하는 구조다.

GM은 외부에서 발견된 보안 취약점이나 내부 점검을 통해 확인된 문제를 정해진 절차에 따라 검토, 대응한다. 이 과정에서 필요한 경우 제품 개선이나 시스템 보완 조치가 이뤄진다. 차량 및 제품과 관련된 사이버보안 이슈는 제품 안전 관리 체계와 연계돼 처리된다.


◇이사회에선 감사·기술위원회가 관련 업무 이끌어

GM 이사회는 리스크 관리와 기술 관련 사안을 감독하는 위원회 구조를 통해 사이버 리스크를 포함한 주요 위험 요인을 점검한다. 사이버보안은 기술 발전과 디지털 전환 과정에서 발생할 수 있는 리스크 중 하나로 분류돼, 이사회 차원의 감독 대상에 포함된다.

다만 이사회 구성원 가운데 사이버보안이나 IT를 전문 분야로 명시한 인물의 존재는 공개 자료에서 확인되지 않는다. GM은 특정 보안 전문가를 이사회에 포함시키는 방식보다는 위원회와 관리 체계를 통해 사이버 리스크를 감독하는 구조를 택하고 있는 것으로 나타난다.

GM의 공시 자료와 이사회 운영 현황을 보면 사이버보안은 특정 기술 소위원회가 전담하는 사안이 아니라 전사적 리스크의 하나로 분류돼 이사회 차원에서 관리되고 있다. 우선 GM에는 이사회 소위원회명에 사이버보안이 기재된 곳이 있다. GM은 이사회 산하에 리스크 및 사이버보안위원회(Risk and Cybersecurity Committee)를두고 있다. 해당 소위원회로 회사가 직면한 주요 위험 요인 가운데 사이버보안과 기술·운영 리스크를 포함한 전사적 리스크 관리를 감독하는 역할을 맡고 있다.

감사위원회(Audit Committee)도 정보보안 이슈를 다룬다. GM의 감사위원회는 회계·재무 감독뿐 아니라 내부통제와 기업 리스크 관리 전반을 담당한다. 사이버보안과 데이터 보호, 정보기술(IT) 리스크 역시 이 범주에 포함돼 있다. 감사위원회는 사이버보안 관련 위험 요인과 대응 현황에 대한 보고를 정기적으로 받고 내부통제 체계와 리스크 관리 프로세스의 적정성을 점검하는 역할을 수행한다.

사이버보안을 기술 부서의 운영 이슈가 아니라 기업 운영과 재무 안정성에 영향을 미칠 수 있는 리스크로 다루는 구조다. 감사위원회가 내부통제, 재무보고, 컴플라이언스 관점에서 IT·사이버 리스크를 점검한다면 리스크 및 사이버보안위원회는 이보다 넓은 전사적·전략적 관점에서 리스크를 다룬다.


앞서 발생했던 GM의 정보보안·사이버보안 관련 공개 사례를 보면 문제는 대규모 내부 시스템 침해보다는 계정 보안과 제3자 연계, 개인정보 관리 영역에서 발생했다. 2022년에는 커넥티드 차량 서비스인 OnStar 계정이 외부에서 유출된 인증 정보를 재사용하는 방식으로 무단 접근된 사례가 확인됐다. GM은 해당 사안 이후 다중요소인증 강화와 비정상 로그인 탐지 등 계정 보안 조치를 보완했다.

또 2023년에는 미국 MGM 리조트 인터내셔널이 사이버 공격을 받는 과정에서 GM 고객 일부 정보가 제3자 연계 경로를 통해 간접적으로 영향을 받은 사실이 언론 보도를 통해 알려졌다. GM은 핵심 시스템이 직접 침해된 것은 아니라고 설명했다. 이와 별도로 GM은 2020~2021년 차량 데이터와 고객 정보 처리 방식과 관련해 집단소송과 규제 당국의 문제 제기를 받은 바 있다. 이후 개인정보 고지와 데이터 처리 정책을 정비했다고 공시했다.