S 혹은 G?..."ESG 평가에 사이버 보안 추가해야"

[아이뉴스24 김혜경 기자] 사이버보안은 기술 문제가 아닌 비즈니스 리스크 관리 측면에서 접근해야 한다는 의견이 나왔다. 사이버보안도 기업의 지속 가능 목표를 달성하기 위한 핵심 지표라는 분석이다.

16일 가트너는 '2023년 주요 사이버보안 트렌드' 보고서를 통해 ▲사이버보안 운영 모델 혁신 ▲사이버보안 플랫폼 통합 ▲사이버보안 감독에 대한 이사회 역량 확대 등을 기업들이 주목해야 할 요소로 꼽았다.

현재 각 기업의 기술 업무는 IT 부서에서 사업 부서 등으로 이동하고 있다. 가트너에 따르면 직원의 41%는 기술 업무를 수행하고 있으며, 이 같은 경향은 5년간 지속될 것이라는 전망이다. 최고정보보호책임자(CISO)는 사이버보안 운영 모델을 수정·통합하고, 다양한 리스크 간 균형을 맞출 수 있어야 한다. 사이버보안을 비즈니스 가치와 연결해야 한다는 설명이다.

리처드 애디스콧 가트너 시니어 디렉터 애널리스트는 "비즈니스 리더들은 이제 사이버보안 문제가 각 기업이 관리해야 할 최우선 비즈니스 리스크라는 점을 인정하고 있다"며 "비즈니스 성과를 지원하는 것이 사이버보안의 우선 순위이지만 여전히 해결해야 할 과제"라고 전했다.

기업 경영에서 지속가능성이 화두가 되면서 ESG(환경‧사회‧거버넌스)는 시대적 흐름이 됐다. 미국 지속가능회계기준위원회(SASB)는 기업이 장기적 가치를 창출할 수 있는 능력을 유지하거나 향상하는 활동을 지속 가능성으로 정의한다. 기업들이 환경 규제 기준을 충족하기 위해 탄소배출 저감 장치 등에 투자를 하는 것처럼 사회(S)‧지배구조(G) 지표에도 비슷한 수준의 대응이 필요한 상황이다.

현재 국제적으로 통일된 ESG 평가 표준은 마련되지 않은 상황이다. 다만 향후 글로벌 표준이 마련될 경우 사이버 침해사고와 데이터 유출 사고, 프라이버시 문제 등은 사회 혹은 지배구조 지표에 포함될 가능성이 높다. 이는 ESG 경영과 맞닿아 있으므로 기업은 사이버보안을 비즈니스와 직결되는 필수사항으로 판단하고, 투자를 강화해야 한다는 설명이다.

가트너는 사이버보안에 대한 일정 수준의 책임을 각 기업 이사회에 부여하는 추세도 높아지고 있다고 강조했다. 애디스콧 애널리스트는 "보안 책임자는 사이버보안 프로그램이 조직의 목표와 목적에 미치는 영향을 입증하는 보고서를 제공해야 한다"며 "이사회가 사이버보안 관련 의사 결정에 적극 관여하도록 권고하고 이사회가 취해야 할 조치에 대해 적극 조언해야 한다"고 말했다.

김혜경 기자의 다른 기사 보기