2019년 8월, 애플과 아마존 등 미국을 대표하는 180여 개 기업의 CEO를 대변하는 비즈니스 라운드 테이블(BRT)은 ‘기업의 목적에 대한 성명’을 발표했습니다. 이를 통해 기업의 주주뿐만 아니라 근로자와 고객, 사회 등 기업의 다른 이해관계자에 대한 사회적 책임을 이행하겠다는 의지를 내보였죠.
최근 몇 년 사이 기업에 대한 사회적 책임에 대한 목소리가 커지면서, ESG(Environment, Social and Governance) 경영을 도입하고 있는 기업이 점차 늘고 있습니다. 자본주의가 시작된 이후 기업의 목적은 이윤 추구로 여겨졌는데요. 기후 위기와 코로나 19 팬데믹을 겪으며 기업의 사회적 책임이 중요해지면서 많은 투자기관에서는 ESG를 투자의 중요한 평가지표로 활용하고 있습니다.
ESG란?
ESG란, 장기적 관점에서 기업 가치와 지속가능성에 영향을 주는 환경(Environment), 사회(Social), 지배구조(Governance)를 뜻하는 말입니다. 기업 투자의사 결정 시 ‘사회책임투자'(Social Responsibility Investment) 혹은 ‘지속 가능 투자’의 관점에서 기업의 재무적 요소뿐만 아니라 비재무적 요소도 함께 고려하기 위한 개념이죠.
ESG라는 용어는 2006년 유엔이 제정한 ‘유엔 책임투자원칙(Principles for Responsible Investment: PRI)’에서 처음 등장했습니다. 당시 유엔 사무총장 코피 아난은 ‘책임투자원칙’을 통해 투자자들이 기업에 대한 투자의사 결정을 내릴 때 재무적 요소와 함께 환경 및 사회에 대한 책임, 지배구조 등 비(非)재무적 요소를 고려해야 한다고 주장했습니다.
ESG는 기업이 사회적 책임을 다해야 한다는 CSR(Corporate Social Responsibility)의 진화된 형태인데요. 기업의 사회공헌과 준법경영을 촉구하는 CSR은 시장을 근본적으로 변화시키는 데 한계가 있었습니다. 이에 비해, 시장의 요구에 의해 투자자 관점에서 시작한 ESG는 자본주의의 흐름을 근본적으로 바꾸고 있다는 평가를 받고 있습니다.
정보보호 관련 ESG 평가지표
정보보안은 앞서 말한 ESG의 3가지 요소인 환경, 사회, 지배구조 영역 중, 사회 영역의 이슈로 고려되고 있습니다.
ESG 평가 기준은 국가별, 기관별로 다를 수 있지만, 대부분의 평가 기준에 정보보호 영역이 포함돼 산업에 따라 높은 가중치를 두어 평가되고 있습니다.
먼저, 한국기업지배구조원이 제정, 발표한 ESG 모범규준에는 정보보호 영역에서 정보보안 거버넌스 구축, 개인정보 수집 및 활용, 개인정보보호 활동 공개 및 정보 주체 권리 보장에 관한 내용을 다루고 있습니다.
1997년 국제 환경단체인 환경 책임 경제연합(CERES)과 유엔환경계획(UNEP)은 국제기구 GRI(Global Reporting Initiative)을 설립했는데요. GRI에서 제정한 지속가능경영 보고서의 작성 글로벌 표준인 ‘GRI 가이드라인’의 개인정보 영역(GRI 418)에서도 소비자 데이터 유출, 프라이버시 침해 등을 다루고 있습니다.
산업별로 ESG 정보공개 표준을 제시하는 SaaS(Sustainability Accounting Standards Board)에서도 고객 개인정보와 데이터 보안과 같은 보안 이슈를 중요한 지표로 다루고 있으며, 아래와 같이 산업별 중요도를 부여하고 있습니다.
미국 투자은행인 모건스탠리 캐피털인터내셜널사가 발표하는 글로벌 펀드 투자지표인 MSCI(Morgan Stanley Capital International index)에서도 프라이버시 및 데이터 보안을 사회 영역의 주요 지표로 분류하고 산업별 가중치를 부여하고 있는데요. 특히, 통신 서비스(23.7%), 금융(10.3%), IT(9.9%) 분야에 높은 가중치를 부여하고 있습니다.
이처럼 정보보호를 중요한 ESG 평가 요소로 다루고 있는 만큼, 중요도가 높은 산업인 경우 개인정보 유출 등의 보안 사고가 ESG 등급을 하락시킬 수도 있습니다.
2016년, 2019년, 2021년 세 차례에 걸쳐 고객 개인정보 유출 사고가 발생했던 페이스북은 MSCI 등급 ‘B’를 유지하고 있습니다. 또한, 이용자 정보 수집에 대한 투명성 부족과 프라이버시 우려로 스탠더드앤드푸어스(S&P) ESG 지수에서 퇴출당했습니다.
사회적 책임으로서 정보보안
‘지속가능한 사이버안보: 사이버 공격 관리에 녹색운동으로부터의 교훈 적용(Sustainable Cybersecurity: Applying Lessons from the Green Movement to Managing Cyber Attacks)’이라는 논문에서는 신뢰를 크게 Hard trust, Real trust, Good trust 세 가지로 분류합니다.
Hard trust는 법률과 같이 기업이 외부 표준을 준수하도록 강제하는 것을 말하며, Real Trust는 기업의 사회적 평판처럼 외부에 비치는 이미지와 같은 것을 말합니다. 마지막으로 Good trust는 내부 구성원의 윤리적 행동을 끌어낼 수 있는 것을 말합니다.
정보보안 관점에서 Hard trust를 구축하기 위해선 보안을 준수하도록 하는 기업의 보안 규칙이나 기술적/관리적 보호 대책을 세울 수 있습니다. Real trust 구축을 위해선 고객의 개인정보 보호를 위한 의지 표명이나 정보보호 인증을 통해 개인정보보호를 위해 최선을 다하고 있음을 대외적으로 알리는 방법을 사용할 수 있습니다. Good trust는 규제나 보상이 없어도 서비스와 개인정보보호를 위해 자발적으로 보안 개선 활동을 수행하는 보안 문화로 실현될 수 있습니다.
이러한 3가지 신뢰 체계를 제대로 구축할 때, 정보보안 관점에서 기업이 사회적 책임을 다하는 것으로 볼 수 있습니다. 이처럼 보안은 단순히 법률을 준수하고 손실을 회피하기 위한 수단을 넘어, 사회 구성원의 신뢰를 통해 기업의 사회적 책임과 지속가능성을 확보하기 위한 수단으로 진화하고 있습니다.
코로나 19 이후 사이버 공격에 노출될 위험은 증가한 반면, 디지털 전환을 위한 치열한 경쟁으로 인해 보안은 상대적으로 우선순위에서 멀어지고 있는데요. 1월 14일 발표된 ‘기업공시제도 종합 개선방안’에 따르면, 2030년부터 전 코스피 상장사의 ESG 정보 공시가 의무화될 예정입니다.
UN 책임투자원칙(PRI)에 연기금을 포함한 투자자들이 대거 참여하고, 글로벌 1위 자산운용사인 블랙록은 ‘기후변화’와 ‘지속가능성’을 최우선 순위로 고려합니다. 이제 ESG를 외면하는 회사는 투자를 받기 어려운 상황이죠. 그만큼 ESG는 이제 기업의 경영윤리를 넘어 생존전략으로 자리 잡고 있습니다.
기업에 대한 정의가 ‘이윤 극대화를 위한 존재’에서 ‘가치 극대화를 위한 존재’, ‘사회적 책임을 위한 존재’로 변화하고 있는 이 시점에서, 기업은 무엇을 해야 할까요? 사회적 책임과 지속가능성을 위해 정보보안의 중요성을 다시 한번 상기해야 할 때입니다.
[참고]
[ESG MEMO Vol.12] ESG 개인정보보호 국내외 우수기업 사례분석, 전국경제인연합회, 2021.10
ESG 정보 공개 가이던스, TRX한국거래소, 2021.01
https://www.legaltimes.co.kr/news/articleView.html?idxno=57524 , [리걸타임즈 Law Talk] CSR, 컴플라이언스 넘어 ESG의 시대로, 2020.12
https://www.pressian.com/pages/articles/2021033009505050387, 기업의 투명·충실·지속가능 보고서가 ESG의 첫걸음이다, 프레시안, 2021.03
http://www.fkii.or.kr/webzine/FKII_2103/FKII_sub22.php, IT업계에 부는 ESG 열풍, 2021.05
https://www.acrc.go.kr/acrc/briefs/201808/sub6.html, 기업윤리와 정보보호, 국민권익위원회,
글 ㅣ LG CNS 사이버시큐리티팀 이은영 책임