사이버 보안은 중요한 ESG 이슈입니다 – 그 근거를 제시하는 방법은 다음과 같습니다
이제 더 이상 피할 수 없는 정보 공개 문제
지속가능성 및 ESG 보고 프레임워크는 대체로 사이버 보안을 부차적인 문제로 취급해 왔습니다. 즉, 지배구조 섹션의 각주나 기술 부문별 표준의 공시 의무 정도로만 다뤄졌을 뿐, 기후 변화, 노동 관행, 이사회 다양성처럼 최우선적인 중요성 고려 사항으로 간주된 경우는 거의 없었습니다. 그러나 이러한 상황은 빠르게 변화하고 있으며, 아직 중요성 평가 및 공시 관행에 사이버 보안을 반영하지 않은 ESG 전문가들은 이러한 공백으로 인해 점점 더 큰 위험에 노출되고 있습니다.
그 이유는 어렵지 않게 이해할 수 있습니다. 사이버 사고는 이제 기업 리스크 공시에서 가장 흔히 보고되는 중대한 사건 중 하나입니다. 심각한 침해 사고로 인한 재정적 결과—규제 당국의 과징금, 운영 중단, 소송 비용, 평판 손상, 고객 신뢰 상실 등—는 막대할 뿐만 아니라 순식간에 발생할 수 있습니다. 개인 정보 유출, 필수 서비스 중단, 취약 계층에 대한 피해 등 인적 피해는 명백한 사회적 영향이다. 또한 중대한 사이버 사고에 앞서 흔히 나타나는 거버넌스 실패—부적절한 감독, 불분명한 책임 소재, 부족한 투자, 미흡한 제3자 관리—는 바로 ESG 프레임워크가 드러내고 해결하기 위해 고안된 바로 그 유형의 거버넌스 실패들이다.
이 맥락에서 ‘중요성’이란 무엇을 의미하는가
ESG 용어에서 ‘중요성(Materiality)’이란 특정 사안이 조직 및 이해관계자에게 미칠 잠재적 영향에 비추어 볼 때 그 사안이 갖는 중요성을 의미합니다. 각기 다른 프레임워크는 서로 다른 기준을 적용합니다. GRI 표준은 이해관계자 중심의 기준을 적용합니다. 즉, 해당 사안이 이해관계자에게 충분히 중요하여 이를 보고하지 않을 경우 조직의 지속가능성 성과를 평가하는 데 필요한 정보가 누락될 수 있는가 하는 것입니다. ISSB 및 TCFD 프레임워크는 재무적 중요성 기준을 적용합니다. 즉, 해당 사안이 조직의 재무 상태, 실적 또는 전망에 합리적으로 영향을 미칠 수 있는가 하는 것입니다. EU의 ESRS는 이 두 가지를 결합한 이중 중요성 기준을 적용합니다.
사이버 보안은 다양한 조직에 대해 이러한 모든 중요성 평가 기준을 충족합니다. 재무적 중요성 측면에서 볼 때, 중대한 사이버 사고가 심각한 재무적 손실을 초래할 가능성은 이미 널리 인정받고 있으며, 위험 공시에서 점차 수치화되고 있습니다. 이해관계자 중요성 측면에서 볼 때, 고객, 직원, 투자자 및 규제 당국은 모두 조직이 사이버 위험을 어떻게 관리하는지에 직접적인 이해관계를 가지고 있습니다. 또한 이중 중요성 관점에서 볼 때, 사이버 사고는 조직이 미치는 광범위한 사회적·환경적 영향에 영향을 주기도 하고 그 영향 또한 받기도 합니다. 예를 들어 환경 모니터링 데이터의 손실, 직원이나 고객의 개인정보 유출, 지역사회가 의존하는 서비스의 중단 등이 이에 해당합니다.
사이버 보안은 단순히 좁은 범위의 기술적 문제가 아닙니다. 이는 재무적, 사회적, 지배구조적 차원을 모두 아우르는 비즈니스 리스크로서, 모든 주요 ESG 보고 프레임워크의 중요성 평가 기준과 직접적으로 부합합니다.
NIST CSF 2.0이 정보 공개 측면에서 제공하는 내용
사이버 보안의 중요성에 대한 근거를 마련하거나, 중요성이 확인된 후 공시 내용을 수립하는 ESG 전문가들에게 NIST CSF 2.0은 실용적인 평가 도구이자 공시 프레임워크를 모두 제공합니다.
평가 도구로서 CSF 2.0의 6가지 기능(Govern, Identify, Protect, Detect, Respond, Recover)은 조직이 수행해야 할 사이버 보안 위험 관리 활동에 대한 포괄적인 로드맵을 제공합니다. ESG 전문가는 이 로드맵을 활용하여 현재 관행을 기대치와 비교 평가할 수 있습니다. 조직에 '거버넌스(Govern)' 기능이 요구하는 거버넌스 구조가 마련되어 있는가? '식별(Identify)' 기능이 요구하는 최신의 포괄적인 자산 및 위험 목록이 있는가? '대응(Respond)' 기능이 요구하는 검증된 사고 대응 절차가 마련되어 있는가? 현재 관행과 CSF 2.0의 기대치 사이의 격차가 바로 공시 관련 위험입니다.
공시 구조로서 CSF 2.0의 성과 지표와 범주는 사이버 보안 거버넌스 및 위험 관리에 관한 서술형 공시를 체계화하는 틀을 제공합니다. ESG 전문가들은 조직이 사이버 보안을 얼마나 중요하게 여기는지에 대한 일반적인 내용을 서술하는 대신, CSF와 연계된 구체적인 성과 지표를 중심으로 공시를 구성할 수 있습니다. 즉, 어떤 거버넌스 프로세스가 마련되어 있는지, 공급망 위험을 어떻게 관리하는지, 사고 대응 역량은 어떠한지, 그리고 조직이 시간이 지남에 따라 사이버 보안 태세를 어떻게 모니터링하고 개선해 나가는지 등을 다룰 수 있습니다.
규제 환경
규제 환경은 공시 목적상 사이버 보안의 중요성을 점점 더 강조하고 있습니다. 2023년 12월부터 대규모 신속 공시 기업에 적용되기 시작한 미국 증권거래위원회(SEC)의 사이버 보안 공시 규정은 상장 기업이 중대한 사이버 보안 사고를 영업일 기준 4일 이내에 공시하고, 사이버 보안 위험 관리, 전략 및 거버넌스에 대한 연례 공시를 포함하도록 요구하고 있습니다. EU 회원국들이 2024년 10월까지 국내법으로 이행해야 했던 EU의 NIS2 지침은 광범위한 분야에서 활동하는 조직에 상당한 의무를 부과하며, 중대한 사고에 대한 보고 요건을 포함하고 있다.
특정 부문별 규제를 넘어, ‘기업 지속가능성 보고 지침(Corporate Sustainability Reporting Directive)’에 따라 EU 내 대기업에 적용되는 지속가능성 보고 기준인 ESRS(EU 지속가능성 보고 기준)에는, 사이버 보안이 중요한 요소인 조직의 경우 사이버 보안 위험 관리를 포괄하는 지배구조 공시 요건이 포함되어 있습니다. 또한 GRI(글로벌 보고 이니셔티브) 유니버설 표준 개정 과정에서 사이버 보안을 포함한 기술 거버넌스가 이해관계자 보고와 관련하여 점점 더 중요해지는 분야로 지목되었습니다.
여러 프레임워크에 걸친 공시 의무를 관리하는 ESG 전문가들에게 NIST CSF 2.0은 기본적인 거버넌스 및 리스크 관리 내용을 한 번만 수립하여 다양한 공시 자료에 걸쳐 활용할 수 있는 방안을 제공합니다. 이 프레임워크는 충분히 인정받고 신뢰받고 있어, 공시 문서에 이를 인용하면 그렇지 않았을 경우 일반적일 수 있는 서술에 신뢰성과 구체성을 더할 수 있습니다.
중요성 평가에 사이버 요소를 반영하기
ESG 전문가들이 실질적으로 착수해야 할 첫 단계는 차기 중요성 평가(materiality assessment) 과정에 사이버 보안을 명시적으로 포함시키는 것입니다. 이는 IT 보안, 리스크 관리 및 규정 준수 부서와 협력하여 현재의 리스크 프로필과 리스크 관리 현황을 파악해야 함을 의미합니다. 또한 내부 추산치가 없는 경우 공개된 사고 비용 데이터를 참고 자료로 활용하여 잠재적 사고로 인한 재무적 노출을 평가해야 함을 뜻합니다. 아울러 투자자 설문지, 고객 실사 요청 및 규제 지침을 통해 점점 더 명확히 제시되고 있는 사이버 보안 거버넌스에 대한 이해관계자의 기대치를 조사해야 함을 의미합니다.
사이버 보안이 중요 사항으로 확정되면, NIST CSF 2.0의 ‘거버넌스(Govern)’ 기능은 명확한 책임 소재, 문서화된 정책, 정의된 위험 수용 범위, 그리고 신뢰할 수 있는 감독 절차를 통해 조직이 해당 중요 사항에 대해 적절하고 균형 잡힌 대응을 할 수 있도록 보장하는 거버넌스 프레임워크를 제공합니다.
사이버 보안의 중요성과 ESG 거버넌스의 엄격성 사이의 연관성을 지금 파악하는 기업들은, 사이버 보안을 여전히 남의 문제로만 여기는 기업들보다 앞으로 다가올 공시 환경에 더 잘 대비할 수 있을 것입니다.
핵심 요점: 사이버 보안은 모든 주요 ESG 프레임워크에서 중요성 평가 기준을 충족합니다. NIST CSF 2.0은 사이버 보안을 신뢰성 있고 구체적으로 ESG 보고서에 반영할 수 있도록 평가 도구와 공시 체계를 모두 제공합니다.