최근 기업들은 ESG(Environment, Social, Governance) 전략을 추진하는 과정에서 탄소 중립, 친환경 사업, 재생 에너지 도입 등 환경(E) 요소에 집중하는 경향이 뚜렷하다. 기후 변화 대응과 지속 가능한 경영이 중요한 만큼, 이에 대한 관심이 집중되는 것은 자연스러운 현상이다. 그러나 사회(S)와 지배구조(G) 영역, 특히 보안(Security)은 ESG 논의에서 충분히 다뤄지지 않는 경우가 많다. 사이버 보안은 기업의 신뢰성을 유지하고 지속 가능한 경영을 실현하는 데 있어 필수적인 요소임에도 불구하고, 여전히 ESG 전략에서 소홀히 취급되고 있다.
E(Environment)만 있는 K-ESG !?
국내 ESG 평가 및 정책을 살펴보면, 탄소 배출 절감, 신재생 에너지 확대, 친환경 제품 개발 등에 중점을 두고 있다. 이에 반해, 사이버 보안과 정보 보호는 ESG 보고서에서 충분히 강조되지 않는 것이 현실이다. 기업들은 보안 강화를 위한 투자를 ESG 경영의 일환으로 인식하기보다는 단순한 IT 운영 비용으로 간주하는 경향이 있다. 이러한 인식은 기업이 사이버 보안을 ESG 전략에서 배제하는 원인이 되며, 궁극적으로 보안 리스크 대응 체계가 미흡한 결과로 이어질 수 있다.
사회(S) 영역에서도 사이버 보안의 중요성은 간과되고 있다. ESG의 사회적 책임 요소는 주로 노동권 보호, 다양성, 지역사회 기여 등에 초점을 맞추고 있다. 그러나 사이버 보안은 기업이 사회적 신뢰를 유지하는 데 있어 필수적인 요소이다. 개인정보 유출, 랜섬웨어 공격과 같은 보안 사고로 인해 피해를 보는 것은 결국 소비자와 직원이다. 기업의 보안 관리 수준은 곧 소비자 보호로 직결되는 문제임에도 불구하고, 이에 대한 ESG 차원의 대응은 여전히 부족한 실정이다.
또한, ESG의 지배구조(G) 영역에서도 보안 리스크 관리는 핵심 평가 요소로 포함되지 않는 경우가 많다. 기업의 윤리 경영, 이사회 독립성, 내부 통제 등은 주요 항목으로 평가되지만, 사이버 보안은 여전히 법적 최소 기준을 충족하는 수준에 머물러 있다. 글로벌 기업들은 사이버 보안 리스크를 기업 지배구조(G)의 핵심 리스크로 간주하며 보안 거버넌스를 체계적으로 운영하고 있는 반면, 국내 기업들은 보안 리스크 관리 체계를 명확히 구축하지 못하고 있다. 내부자 위협(Insider Threat)이나 데이터 유출 사고를 예방하기 위한 보안 거버넌스 체계가 미흡한 것도 문제점으로 지적된다.
보안을 통한 균형 잡힌 ESG 경영이 필요하다.
이러한 문제를 해결하기 위해서는 ESG 평가 기준에서 보안 관련 항목을 강화할 필요가 있다. 국내 ESG 평가 기준(KCGS 등)에 사이버 보안 및 데이터 보호 항목을 명확히 추가하고, 금융권 및 공공기관을 중심으로 보안 평가 기준을 ESG 보고서에 반영하도록 유도해야 한다. 기업들도 보안을 ESG 전략에 적극적으로 포함해야 한다. 글로벌 기업들은 사이버 보안을 ESG의 핵심 요소로 포함하여 관리하는 반면, 국내 기업들은 여전히 이를 별도의 영역으로 취급하는 경우가 많다. 보안 강화를 위한 투자(예: 보안 인프라 구축, 모의 해킹, 보안 인재 채용 등)를 ESG 전략의 일부로 인정하는 인식 변화가 필요하다.
사회적 책임(S) 차원에서도 고객 보호를 더욱 강조해야 한다. 기업의 정보보호 수준이 소비자 보호로 이어진다는 점을 명확히 인식하고, 개인정보 보호 및 보안 사고 예방이 기업의 사회적 책임(S)에 포함될 수 있도록 ESG 정책을 설계해야 한다. 거버넌스(G) 측면에서도 보안 리스크 관리 체계를 강화하는 것이 필요하다. 경영진 차원에서 사이버 보안 리스크를 주요 경영 리스크로 다루고, 기업 이사회에서 보안 이슈를 논의할 수 있도록 ‘사이버 보안 위원회’와 같은 조직을 운영하는 방안을 고려해야 한다.
현재 국내 ESG 정책과 기업들의 ESG 경영 전략은 환경(E) 중심으로 편중되어 있으며, 보안(Security)은 ESG 논의에서 충분히 다뤄지지 않고 있다. 그러나 보안은 단순한 IT 운영의 문제가 아니라, 기업의 지속 가능성과 사회적 책임을 결정하는 중요한 요소이다. ESG 전략이 보다 균형 잡힌 방향으로 발전하기 위해서는 사이버 보안을 ESG의 핵심 요소로 포함하고, 이를 체계적으로 관리하는 노력이 필요하다.
