“세상엔 두 종류의 기업이 있다. 해킹을 당한 곳과, 아직 그 사실을 모르는 곳.” 세계적 보안업체 시스코의 진단이다. 완벽한 방어는 없으며 공격자는 결국 침투할 방법을 찾아낸다. 그래서 보안 전략의 근간은 기술이 아닌 프로세스에 있다. 조직 설계와 절차 개선, 꾸준한 투자가 끊임없이 순환하는 과정이다. 끝나지 않는 전쟁, 디지털 자산을 지키려는 기업들의 방패는 얼마나 견고할까. 더벨 SR(서치앤리서치)본부가 두드려봤다.
메르세데스-벤츠는 정보보안과 사이버보안을 지속가능경영 전략에서 디지털 신뢰의 핵심 구성 요소로 다루고 있다. 커넥티드카, 자율주행, 디지털 서비스 확대 과정에서 고객 신뢰와 안전한 데이터 처리가 사업 경쟁력의 전제 조건이라는 인식이 반영된 것이다.
메르세데스-벤츠의 정보보안 거버넌스는 △전사 리스크관리체계(ERM)에 포함된 사이버 리스크 관리 △CISO 중심의 글로벌 실무 조직 △차량·제품 보안까지 확장된 관리 범위 △이사회와 내부통제시스템을 통한 감독 구조라는 축으로 정리된다.
◇ 전사적 리스크 관리(ERM)에 포함된 정보보안
메르세데스-벤츠는 사이버보안을 ERM에 포함해 관리하고 있다. 연차보고서의 주요 리스크 항목에는 IT 시스템 장애, 데이터 유출, 해킹 등 사이버 리스크가 명시됐다. 해당 이슈들은 차량 소프트웨어 업데이트, 커넥티드 서비스, 디지털 판매·금융 서비스 확대와 직결된 위험 요인으로 설명된다.
메르세데스-벤츠는 정보보안 관련 리스크를 식별·평가·대응·모니터링하는 표준 프로세스를 운영하고 있으며 이 결과는 정기적으로 경영진과 이사회에 보고된다. 사이버보안이 단기 운영 리스크를 넘어 중·장기적 경영 리스크로 분류돼 관리 대상에 포함됐다는 점은 공시 자료에서 반복적으로 확인할 수 있다.
정보보안 체계는 기업 IT 보안을 넘어 차량·제품 보안 영역으로 확장됐다. 메르세데스-벤츠는 차량개발 초기 단계부터 보안 요구사항을 반영하는 원칙을 적용한다고 설명한다. 설계·개발·테스트·양산·운영 전 과정에 걸쳐 보안 요소를 반영하는 구조다.
관리 대상에는 차량 소프트웨어, 전자제어장치(ECU), 무선 업데이트(OTA), 커넥티드 서비스 전반이 포함된다. 특히 차량의 디지털화와 네트워크 연결 확대로 인해 사이버보안 위험이 IT 인프라를 넘어 차량 소프트웨어와 백엔드 시스템으로 확대됐다는 점을 주요 리스크로 명시했다. 차량 소프트웨어 취약점이 악용될 경우 기능 변경이나 데이터 손상으로 이어질 수 있다는 설명도 기재됐다.
메르세데스-벤츠는 유럽연합(EU)의 차량 사이버보안 규제에 대응해 차량 사이버보안 관리체계(CSMS)를 구축·운영하고 있으며 관련 인증을 취득해 글로벌 시장에서 규제 대응 기반을 마련했다.
그래픽=제미나이로 생성한 메르세데스-벤츠 정보보안 체계 관련 시각물
◇글로벌 정보보안 조직 및 24시간 대응 체계 구축
실무 차원에서는 그룹 전반을 아우르는 글로벌 정보보안 조직이 구축돼 있다. 이 조직은 IT 인프라 보안, 차량·제품 보안, 데이터 보호, 사이버 사고 대응을 포괄적으로 담당한다. 최고정보보안책임자(CISO)는 그룹 차원에서 정보보안 전략 수립과 실행을 총괄하며 글로벌 보안 표준 수립, 침해사고 대응 체계 운영, 임직원 보안 인식 제고 프로그램 등을 관할한다.
CISO는 경영진 레벨에서 의사결정 과정에 참여하며 주요 정보보안 이슈는 정기적으로 상위 의사결정 기구에 보고되는 구조다. 공시 자료에는 구체적인 직위명이나 개인 이력은 상세히 드러나지 않지만 정보보안이 경영 의사결정 구조 안에 포함됐다는 점은 분명히 쓰여있다.
메르세데스-벤츠는 사이버 위협 대응을 위해 사이버지식&대응센터(Cyber Intelligence & Response Center)를 24시간 운영하고 있다. 이 조직은 전세계에서 발생하는 사이버 위협을 분석하고 보안 사고 발생 시 대응을 총괄한다.
기술적 측면에서는 데이터 이중화, 분산 저장, 오프사이트 백업, 고가용성 시스템 구축 등을 통해 IT 시스템 중단 위험을 줄이고 있다. 비상 대응 계획 역시 지속적으로 업데이트되고 있으며 신규 사이버보안 규제와 관리체계 요구사항을 내부 프로세스에 반영하고 있다고 보고서는 설명한다.
개인정보 보호는 메르세데스-벤츠 정보보안 체계의 핵심 요소다. 회사는 EU 일반개인정보보호법(GDPR)을 포함한 각국의 개인정보 보호 규제 준수를 전제로 데이터 관리 체계를 운영하고 있다. 그룹 차원의 개인정보 보호 책임자(DPO)가 지정돼 있으며 고객·임직원·거래처 데이터 처리에 대한 내부규정과 통제절차가 마련됐다.
지속가능경영보고서에는 개인정보 침해 사고 예방을 위한 기술적·관리적 보호조치와 함께 데이터 최소화, 접근통제, 암호화 원칙이 명시돼 있다. 사이버보안 리스크는 단순한 운영 중단을 넘어 개인정보 유출, 평판 훼손, 규제 리스크로 이어질 수 있는 위험 요인으로 분류돼 있다.
메르세데스-벤츠는 이를 관리하기 위해 데이터 컴플라이언스 관리체계(Data Compliance Management System)를 운영하고 있으며 글로벌 개인정보 보호 요구사항을 체계적으로 관리하고 있다. 이사회 차원에서도 정보보안과 사이버보안에 대한 감독이 이뤄진다. 메르세데스-벤츠 이사회에서는 리스크·감사 성격의 감사위원회가 정보보안을 포함한 디지털 리스크 전반까지 포괄하고 있다.
정보보안은 메르세데스-벤츠의 내부통제시스템(ICS)에도 명시적으로 포함돼 있다. 회계·재무 통제뿐 아니라 그룹 전반의 업무 프로세스를 대상으로 한 통제 항목에 글로벌 사이버·정보보안 조직의 관리 영역이 포함됐고 기업 감사 조직(Corporate Audit)이 이를 독립적으로 점검한다.
행동주의 개입 명분 만드는 역설
