[미래포럼]ESG 환경과 보안경영

보안 활동의 궁극적인 목적은 질서(秩序)와 안녕(安寧)이다. 다시 말해 보안 활동은 현재 진행되고 있는 일이 아무 탈 없이 순조롭게 진행되도록 유지하기 위한 활동이다. 조직의 업무 처리를 측면에서 지원해 오던 보안 활동은 디지털 환경으로 전환되면서 경영전략으로 자리매김하고 있다. 더욱이 최근에는 디지털전환 작업이 순환경제(circular economy) 흐름 속에 탄소 중립을 지향하는 기후변화 대응과 맞물리면서(디지털과 순환이라는 변화를 톱니바퀴처럼 맞물리도록 하여 여기서 창출되는 효과로 탄소 중립을 달성) 보안 활동도 새로운 관점으로의 변화가 요구되고 있다. 결론적으로 보안 활동은 최근 조직 경영의 방향성으로 제시되고 있는 ESG 활동의 중요한 요소로서 그 역할이 기대되고 있다.

ESG는 크게 환경적 지속 가능성(Environment), 사회적 지속 가능성(Social), 구조적 지속 가능성(Governance)으로 구성되어 있다. 이는 특정 조직(기관, 기업 등)의 투자자 관점에서 재무적 요소(매출, 이익 등) 외 비재무적 요소까지도 바라보기 위해 생겨났다. 막대한 수익을 창출하던 기업들이 급격한 기후변화와 코로나19 등과 같은 예상하지 못한 재난을 겪게 되면서 지속 가능성을 확보하기 위한 비재무적 요소에 대한 기업의 대응력은 곧 투자자가 반드시 살펴봐야 하는 핵심 내용이 된 것이다.

이러한 흐름 속에서 보안 활동도 조직 관리와 가치 창출 과정에 대한 지속 가능성 확보 관점에서(외부 사이버 공격, 내부 유출 방지, 고객 개인정보 보호 등) 사회적 지속 가능성 영역에 항목으로 설계돼 있다. 사회적 지속 가능성은 조직과 관계되는 다양한 이해관계자 사이에 신뢰 형성을 목적으로 하고 있으며, 지속 가능성 수준을 평가하는 주요 기관에서 조직의 보안 수준을 통해 이를 측정하고 있다.(Morgan Stanly Capital International, Global Reporting Initiative, 산업통상자원부 등) 이와 함께 2023년부터 기획재정부가 실시하는 공공기관 경영평가 항목에 보안 관련 내용이 경영관리 계량 항목으로 반영된다는 내용도 이러한 관점에서 생각해 볼 수 있다.

이제는 조직이 보유하고 있는 정보 형태의 핵심 자산 확보 수준을 넘어 어떻게 보호하고 관리함으로써 지속 가능성을 확보하느냐가 주요한 전략으로 가시화된 것이다. 예를 들어 연구개발 및 기술정보 등에 대한 보존과 축적, 수집된 고객 정보에 대한 소중한 관리 등과 더불어 (최근 재난 수준으로 발생한 바 있지만) 가치를 공유하는 서비스의 중단 없는 운영 등이 있다. 지금까지 우리에게 친숙한 조직의 사회적 책임을 뜻하는 CSR(Corporate Social Responsibility)은 해당 조직이 사회에 기여하기 위한 목적으로 진행되는 '부가적' 활동이다.

반면에 ESG는 그러한 CSR 수준을 넘어 조직이 창출하는 가치의 규모와 무관하게 생존을 위한 '필수' 활동이라 판단되며, 앞으로 조직의 경영전략 수준에서 진행되는 보안 활동이 신뢰를 매개로 한 조직의 지속 가능성 확보에 기여할 수 있기를 기대해 본다.

장항배 중앙대 산업보안학과 교수 hbchang@cau.ac.kr