• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    광장

    ESG 경영 트렌드와 정보보안/개인정보 보호의 중요성

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [2021.10.21.]



    최근 기업 경영에 있어 ESG 경영이 중요 화두로 부각되면서 ESG 경영과 관련한 개별 평가항목 내지 기준들에 대해서도 관심이 높아지고 있습니다. 그리고 이러한 ESG 경영 평가항목 중 IT와 관련하여 특히 중요한 것은 사회(Social) 분야의 정보보안과 개인정보 보호 문제입니다. 실제로 국내의 대표적인 ESG 평가기관인 한국기업지배구조원에서 제정하고 발표하고 있는 ESG 모범규준에도 정보보안과 개인정보 보호를 아우르는 정보보호 항목이 포함되어 있습니다.


    이러한 정보보안과 개인정보 보호는 침해될 경우 고객 등 이해관계자에게 심각한 피해를 줄 수 있을 뿐만 아니라 기업의 평판에도 중대한 악영향을 미칠 수 있는 매우 중요한 이슈로, ESG 경영이 강조될수록 그 중요성이 더욱 부각될 것으로 예상되는 사항인 만큼 미리 점검 및 개선 체계를 마련해나가는 것이 필요합니다. 아래에서는 ESG 경영을 위해 관심을 기울이고 준비해야 할 정보보안 및 개인정보 보호 관련 사항들에 대해 말씀드리도록 하겠습니다.

     

     

    1. 정보보안 관련

    정보보안(Information Technology Security)과 관련하여서는 흔히 개인정보 관련 보안을 포함한 정보통신 관련 시스템 보안만을 생각하기 쉬우나 전 산업분야에 걸쳐 자동화, 디지털화가 진행되고 있는 현재 단계에서는 산업 안전과 관련한 산업운영보안 영역을 함께 고려할 필요가 있습니다. 그리고 이러한 정보보안 문제는 단순히 기업 내부의 일부 시스템에만 영향을 미치는 것이 아니라 기업의 사업 전체, 나아가 사회나 전세계에 영향을 미칠 수 있는 매우 중요한 문제가 되었습니다.


    실제로 미국 동부에서 석유 공급의 상당 부분을 담당하고 있는 콜로니얼 파이프라인은 압력 센서·밸브·펌프 등 송유관 설비를 디지털화하여 운영하였는데, 지난 5월 7일 랜섬웨어 공격을 받으면서 설비 가동이 중단되었고, 그로 인해 미국 남동부 지역에 휘발유 부족 사태가 발생하면서 엄청난 피해가 발생하였습니다. 또한 지난 2019년에는 세계 최대 알루미늄 생산 회사 중 하나인 노르스크 하이드로가 랜섬웨어 공격을 받고 알루미늄 생산을 중단하게 되어 전세계적으로 알루미늄 가격 상승이 초래되었던 사건도 있었습니다.


    아울러 이러한 정보보안 관련 위험은 더 이상 극소수의 회사에게만 존재하는 위험이 아닙니다. 다수의 기업들이 설비를 자동화 내지 디지털화하고 있고 COVID-19 사태 이후 원격 업무 수행도 활발하게 이루어지고 있어 사이버 공격이나 그 밖의 보안 관련 위협에 따른 기업의 위험, 나아가 사회나 산업 전반의 위험은 커지고 있고, 이에 따라 정보보안이 점점 더 중요해지고 있습니다. 또한 산업 설비 등에 대한사이버공격이나 보안 취약점등으로 인해 안전사고 등이 발생할 경우 2022년 1월 27일부터 시행될 예정인 중대재해 처벌 등에 관한 법률에 따른 안전보건관리체계의 구축 및 그 이행에 관한 조치 등 의무 불이행과 그에 따른 형사처벌이 문제될 가능성도 배제할 수 없습니다.


    따라서 IT보안과 산업운영 보안 영역에 걸쳐 정보보안을 위한 충분한 조치를 취하는 것은 기업의 ESG 경영에 있어 매우 중요해지고 있는데, 우리나라의 경우 정보통신기반 보호법이 주요 정보통신 기반시설의 지정 제도를 두고 주요 정보통신 기반시설 관리기관의 장으로 하여금 주요 정보통신 기반시설 및 관리 정보를 안전하게 보호하기 위한 예방, 백업, 복구 등 물리적ㆍ기술적 대책을 포함한 관리대책을 수립ㆍ시행하도록 하고는 있으나, 위 법이 일반적인 사업자들에 대해 적용되는 정보보안 관련 기준을 제시하고 있지는 않습니다. 또한 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서도 정보보호 관리체계 인증(ISMS) 제도를 두면서 특히 전기통신사업자 등 일부 사업자로 하여금 위 인증을 취득하도록 의무화하고 있으나, 이러한 인증 취득 의무를 부담하지 않는 사업자들에 대해서는 정보보안과 관련한 명확한 법적 기준을 두고 있지 않습니다. 나아가 특히 산업운영 보안 영역에서는 사업자들이 참고할 수 있는 위와 같은 정보보안 관련 법적 기준조차도 실질적으로 찾기 어려운 상황입니다. 이에 대부분의 사업자들은 정보보안과 관련하여 취해야할 조치 기준을 명확히 파악하기 어렵고, 이로 인해 보안사고 발생 시 해당기업자체나 산업 내지 사회에 엄청난 피해가 발생할 수 있으며 그에 대해 상당한 법적 책임도 부담할 수 있음에도 정보보안을 위한 조치를 충분히 취하기 어려운 실정입니다.


    이처럼 ESG 경영을 위해 정보보안을 강화하고자 하더라도 그 구체적인 방안의 마련 및 시행에 어려움이 있을 수 있는데, (i) 일단 회사가 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따른 정보보호 관리체계 인증의무나 정보통신기반 보호법상 정보보안 관련기준의 적용을 받는 사업자인지를 확인하고, 이러한 사업자에 해당하는 경우에는 위 정보보호 관리체계 인증 기준이나 정보통신기반 보호법상의 정보보안 기준을 준수하고 있는지를 확인하는 것이 필요합니다. 나아가 (ii) 회사가 영위하고 있는 사업, 처리하고 있는 정보의 내용과 특성, 정보처리시스템 및 설비 시스템의 구성 및 운영방식 등을 고려하여 발생 가능한 정보보안 관련 위협요소를 분석하고 이러한 위협요소의 발생을 예방할 수 있는 정보보안 개선조치 및 수준을 도출한 후 이러한 개선, 보완조치를 취할 필요가 있을 것입니다.



    2. 개인정보 보호 관련

    한편, 개인정보 보호에 관해서는 일반법인 개인정보 보호법 외에 신용정보의 이용 및 보호에 관한 법률, 위치정보의 보호 및 이용 등에 관한 법률 등 다양한 법률이 구체적으로 규율을 하고 있어 최소한의 준수 기준은 비교적 명확히 파악을 할 수 있습니다. 또한 개인정보 보호법은 개인정보 보호 인증제도를 두고 개인정보처리자가 개인정보를 적법하게 처리 및 보호하고 있는지에 대해 인증을 받을 수도 있도록 하고 있습니다.


    그러나 ESG 경영을 추구하는 회사의 입장에서는 단순히 개인정보 보호 법령을 준수하는 수준에 만족해서는 안되며, 실제 처리하고 있는 개인정보의 항목, 처리방법 내지 방식, 관련 인력, 조직 및 시스템, 현재 취하고 있는 개인정보보호조치의 수준 등을 종합적으로 고려하여 개인정보침해가 발생할 수 있는 위험 요인을 선제적으로 파악하고 (법적으로는 반드시 필요한 것이 아니라고 하더라도) 이러한 위험요인을 제거하기 위한 개선, 보완조치를 취하는 등보다 높은 수준의 노력이 필요합니다.


    그리고 개인정보보호위원회도 지난 4월 개최된 전체회의에 한국기업지배구조원의 ESG 평가에 개인정보 보호 관련 내용이 추가적으로 포함될 수 있도록 제안하는 방안을 보고하는 등 개인정보와 관련한 ESG 경영에 적극적으로 관심을 기울이고 있으니 관련 규제기관들의 동향도 지속적으로 파악하여 ESG 경영을 위한 조치에 이를 적극반영할 필요가 있겠습니다.



    3. 참고 사항

    ESG경영을 추구하는 회사들은 일단 ESG경영에 부합하는 정보보안 및 개인정보보호목표를 설정하고 이러한 목표 달성을 위한 구체적인 이행 계획을 수립한 후 해당 계획을 적극적으로이행해갈 필요가 있습니다. 이를 위해서는 ESG 경영 평가 기준 및 평가 항목 등에 대한 폭넓은 이해와 정보보안 및 개인정보 보호와 관련한 사항에 대한 전문적인 검토 및 평가, 개선/보완 조치 계획 수립 등에 대한 전문적인 경험 및 노하우를 겸비한 전문가들의 컨설팅을 받는 것도 큰 도움이 될 것입니다.


    저희 법무법인(유) 광장의 TMT / DPC 그룹은 ESG 그룹과의 협업을 통해 ESG 경영을 위한 정보보안, 개인정보보호조치 관련 자문을 전문적으로 제공하고 있으니 이 점 업무에 참고부탁드립니다.



    박광배 변호사 (kwangbae.park@leeko.com)

    김태주 변호사 (taejoo.kim@leeko.com)

    손경민 변호사 (kyungmin.son@leeko.com)

    마세라티