ESG 경영을 위한 중소·중견 기업 보안·DR 거버넌스 방법론 연구

Abstract

ESG(Environmental, Social, Governance) 경영이 제도·시장 양 측면에서 빠르게 ‘정착 단계’로 변화하면서 정보보안과 재해복구(Disaster Recovery, DR)는 더이상 IT 운영의 부수 영역이 아니라 지배구조(G) 영역의 통제·책임·증빙체계로 재정의되고 있다. 특히 EU의 CSRD는 지속가능성 보고의 범위와 엄격성을 확대하면서 향후 보증(assurance) 관행의 정교화를 예고하고 있으며 ISSB의 IFRS S1 또한 지속가능성 관련 리스크·기회에 대해 기업이 운용하는 거버넌스 프로세스 통제 절차를 명시적으로 공시하도록 요구하고 있다. 이러한 흐름 속에서 ‘보안’은 기술적 방어를 넘어 경영진의 책임 하에 리스크를 식별·관리하고 운영중단을 최소화하며 데이터 신뢰성을 유지하는 거버넌스 실천 과제로 자리 잡게 되었다(EU, 2022). 그러나 중소·중견 기업은 디지털 전환의 속도에 비해 보안과 DR을 경영 시스템으로 내재화하는 데 구조적 한계를 겪고 있다. ENISA(2021)는 중소·중견 기업이 공급망 기반 공격과 같은 외부 충격에 취약하며 인식 부족, 예산부족, 전문인력부족, 경영진 지원 부족 등이 대응·복구 역량의 약점으로 누적된 다고 지적한다. 더 나아가 최근 덴마크 제조 중소·중견 기업을 대상으로 한 연구 보고에서도 ‘최근 몇 년 내 사이버 공격을 경험한 기업이 5개 중 1개’ 수준이라는 결과가 제시되어 제조 기반 중소·중견 기업의 보안 취약성이 특정 국가의 예외가 아니라 국제적으로 반복되는 문제임을 시사한다. 국내 역시 스마트공장 보급 확산과 함께 데이터·설비·외주접속이 촘촘히 연결되고 있으나 현장에서는 자동화·데이터화 투자가 보안·DR의 부재 또는 형식적 운영과 병존하는 장면이 적지 않다. 이는 단순한 기술 격차라기보다 거버넌스 결손(책임·정책·통제·훈련·투자 우선순위)의 누적으로 해석될 여지가 크다(ENISA, 2021). 본 연구자는 스마트공장 및 ICT 인프라 구축·컨설팅 업무를 장기간 수행하며 중소·중견 기업이 보안을 ‘비용’ 또는 ‘사고 이후의 보완책’으로 인식하는 경향이 전략·예산·조직 체계 전반에 어떤 형태로 반영되는지 지속적으로 관찰해 왔다. 또한 ESG 관련 감수·진단 업무 과정에서 경험한 바로는 보안· 연속성 지표가 기업의 내부 통제와 연결되어 표준화되기보다 평가기관·고객사 요구에 따라 파편적으로 대응되는 한계가 뚜렷하게 관찰되었다. 반면 일정 규 모 이상의 기업은 ISMS 기반의 관리체계, 사고 대응 프로세스, 백업·복구 체 계, 공급망 요구사항 관리 등을 다층적으로 운영하며 결국 보안·DR 거버넌스 성숙도 격차가 협력사 평가와 거래 지속성에까지 영향을 미치는 구조가 강화 되는 추세이다. 이러한 변화는 NIST CSF 2.0이 ‘GOVERN’ 기능을 신설·강조하며 사이버 리스크를 전사 리스크관리와 연계하려는 흐름과도 맞물리며 중소·중견 기업 역시 거버넌스 관점에서 보안 및 DR체계를 재정립할 필요가 있음을 뒷받치한다(NIST, 2024). 이에 본 연구는 중소·중견 제조기업의 ESG 성숙도 향상을 위해 보안·DR을 거버넌스 관점에서 통합적으로 재구성하고 제한된 자원을 가진 기업이 현장에서 적용 가능한 방법론을 제안하는 것을 목적으로 한다. 첫째, ENISA의 SME 보안 권고, NIST CSF 2.0 및 ISO/IEC 27001의 관리체계 관점, NIST SP 800-34의 컨틴전시(Contingency) 계획 원리, 그리고 국내 K-ESG 가이드 라인의 진단 항목을 종합하여 중소·중견 기업 보안·DR 취약요인을 ‘조직·정 책·기술·운영·증빙’ 구조로 모델링한다. 둘째, 계층분석법(AHP)을 적용해 보 안·DR 구성요소의 상대적 중요도를 정량화함으로써 투자 우선순위와 단계적 이행 로드맵수립의 근거를 도출한다. 셋째, 분석 결과를 기반으로 ESG 공시· 평가 맥락에서 활용 가능한 보안·DR 거버넌스 지표 모델을 제시한다. 넷째, 공급망 요구사항까지 확장 가능한 사이버 복원력(Cyber Resilience) 기반 실행 프레임워크를 설계하여 현장 적용성과 확장성을 높인다. 특히, 공급망 리스크 관점에서는 CSF 2.0의 공급망 관련 범주(GV.SC)와 연계 가능한 접근을 검토함으로써 협력사 보안 요구사항이 ‘요청사항’에 그치지 않고 거버넌스 운 영 프로세스로 정착될 수 있도록 프레임워크를 보완한다(ENISA, 2021). 본 연구의 의의는 중소·중견 기업이 대기업 수준의 보안·DR 대응체계를 단기간에 모방하는 방식에서 벗어나 거버넌스 성숙도에 기반한 단계적 구축을 통해 실효성을 확보할 수 있는 접근방법론을 제시한다는 것에 있다. 또한 보안·DR 거버넌스의 고도화는 생산·납기·품질에 직결되는 운영중단 위험을 낮추고 복구목표시간(RTO)·복구목표시점(RPO) 개선과 더불어 데이터 무결성 및 공시 신뢰성 제고 등 실질적 성과로 연결될 가능성이 높다. 나아가 협력사 보안 성숙도가 글로벌 밸류체인(GVC)에서 거래 지속성의 조건으로 강화되는 환경에서 본 연구가 제안하는 방법론은 공급망 전반의 ESG 리스크 완화와 국내 중소·중견 제조기업의 지속가능경영 역량 강화를 위한 실천적 기반을 제공할 것으로 기대된다(EU, 2022). 주요단어 : ESG 경영, 정보보안, 재해복구(DR), 운영연속성(BCP), 사이버 복원력(Cyber Resilience), AHP, 스마트공장, 보안 거버넌스