신성장 동력, 규제 대응 등 다양한 요인으로 확산되는 ESG 경영
삼정KPMG, 사이버 보안은 ESG 전략 주요 요소 중 하나로 꼽혀
삼성SDS 해킹존, 버그바운티 프로그램 통한 효율적인 취약점 관리방안 소개
[보안뉴스 이상우 기자] 제112차 CISO포럼이 9월 28일, 온라인으로 열렸다. CISO포럼은 ICT 및 정보보호 분야의 현안과 동향을 공유하고, 현업 전문가와 주요 정부부처 사이의 네트워크를 강화하기 위한 자리로, 한국CISO협의회(회장 이기주)가 매월 개최하고 있다.
▲제112차 CISO포럼이 온라인으로 열렸다[사진=보안뉴스]
이기주 회장은 “매월 CISO포럼을 준비하면서 화두가 되는 최신 이슈를 선정해 CISO 여러분께 소개하기 위해 노력하고 있다. 오늘은 ESG 경영이 정보보호 및 사이버 보안과 어떤 관계가 있는지 들어보는 자리와 함께, 버그바운티를 통한 보안 강화 방안에 대해 소개하는 강연을 준비했다. 오늘 포럼에 참석한 여러 CISO와 강연을 준비한 전문가 여러분께 감사하다는 말씀을 드리고, 좋은 시간이 되길 기원한다”고 말했다.
온라인으로 열린 제112차 포럼에서는 삼정KPMG 김민수 전무가 ‘ESG 경영 패러다임 확산과 사이버 보안’을 주제로 강연을 진행했다. 김민수 전무는 “ESG는 기업 경영에서 규제 대응뿐만 아니라 신규기회를 창출하는 요소로 자리잡고 있다. ESG는 제조나 서비스업 등에서 중요시해왔지만, 오늘날 금융업까지 상당한 의미를 가진 경영 전략이 됐다”며, “특히 기후변화로 인한 자연재해 증가, 화석연료 기반 자산가치 하락 등 비재무적인 요소가 경영에 영향을 주면서 ESG 리스크 관리 중요성이 대두되고 있다”고 말했다.
뱅크 오브 아메리카가 발표한 자료에 따르면 코로나19 발생 이전에도 ESG 지표상 상위 20% 기업의 주가에 대한 프리미엄 가치가 평균 5%이상 높은 것으로 나타났으며, 코로나19 이후에는 이러한 가치가 더욱 빠르게 상승하고 있는 상황이다. 즉 ESG에 대한 투자 및 관리는 기업의 지속가능성을 확보하는 것과 동시에 기업 가치를 높이는 일이 됐다.
실제로 ESG 성과가 우수한 기업의 강력한 회복탄력성이 입증되면서 ESG에 대한 투자 역시 급증하고 있는 추세며, 투자자 역시 ESG에 대한 투자를 긍정적으로 여기고 있다. 특히 무디스, 피치, S&P 등 신용평가사 역시 기업 평가에 ESG를 반영하기 시작했다. S&P는 내부통제 및 리스크관리 등을 반영해 신용등급을 조정하고 있으며, 일례로 듀크 에너지 같은 석탄발전 위주의 기업에 대해 환경오염요소로 신용등급이 하향 조정되기도 했다. 이처럼 지속가능성 등의 비재무적 요소가 기업 신용등급에도 영향을 미치는 셈이다.
국내에서도 이러한 동향을 반영해 2021년까지 ESG에 대한 자율 공시를, 오는 2025년부터는 일정 규모 이상에 대한 공시를, 2030년에는 코스피 상장기업에 대한 의무공시를 추진하고 있다.
▲사이버 보안은 ESG 전략에서 주요 요소 중 하나로 자리잡고 있다[사진=보안뉴스]
사이버 보안 역시 ESG에 영향을 주는 요소 중 하나가 됐다. 김민수 전무는 “KPMG 인터내셔널이 조사한 자료에 따르면 향후 3년간 기업 성장의 가장큰 위협 요소로는 사이버 보안, 환경·기후 변화, 공급망 관리 등이 꼽혔다. 이미 기업 CEO는 뉴노멀 시대로 가면서 사이버 보안의 중요성을 크게 느끼고 있는 상황이다”고 말했다. 이어 “투자자 역시 ESG 상위 리스크 6개 요소 중에서 공급망 관리, 사이버 보안, 데이터 프라이버시 등을 꼽았다. 지속가능한 비즈니스를 위해서 개인 및 기업 고객의 중요 데이터를 안전하게 보관할 수 있는지, 각각의 프라이버시를 침해하지 않으면서도 디지털 중심의 시대에서 반드시 필요한 ‘연결성’을 유지할 수 있는지 같은 요소가 중요해졌다”고 덧붙였다.
이어지는 강연에서는 삼성SDS 이영호 프로가 ‘집단지성을 통해 해킹공격의 집단면역 체계 구축: 해킹존 버그바운티’를 주제로 강연을 진행했다. 해킹존은 삼성SDS가 운영해온 버그바운티 플랫폼으로, 자사의 버그바운티 플랫폼을 외부 기업에 서비스 형태로 제공한다.
이영호 프로는 “보통 모의해킹을 통한 취약점 점검에는 앱 하나당 평균 1.5명의 인원이 필요하며, 연간 1~2회 정도 실행하는 것이 대부분이다. 하지만, 최근 애플리케이션은 상시적으로 업데이트 및 패치가 진행되기 때문에 이러한 인원과 횟수로는 취약점 관리가 어려우며, 비용 역시 많이 든다”고 말했다. 이어, “버그바운티 기반 취약점 탐색은 더 적은 비용으로 상시적인 취약점 발견이 가능하다. 실제로 해킹존이 버그바운티 프로그램을 운영해본 결과 참여자가 단 10분만에 버그를 발견해 제보하기도 했다. 다만, 한국의 경우 보수적인 기업 문화 때문에 자사 서비스의 버그가 노출되는 것을 기피하는 경향이 있다. 하지만, 이렇게 제보하지 않으면 평생 몰랐을 취약점을 버그바운티를 통해서 발견해 수정 및 개선할 수 있다. 이러한 프로그램이 활성화돼야 구글, 모질라 등의 글로벌 선두 기업을 따라갈 수 있다”고 덧붙였다.
한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[이상우 기자(boan@boannews.com)]
삼정KPMG, 사이버 보안은 ESG 전략 주요 요소 중 하나로 꼽혀
삼성SDS 해킹존, 버그바운티 프로그램 통한 효율적인 취약점 관리방안 소개
[보안뉴스 이상우 기자] 제112차 CISO포럼이 9월 28일, 온라인으로 열렸다. CISO포럼은 ICT 및 정보보호 분야의 현안과 동향을 공유하고, 현업 전문가와 주요 정부부처 사이의 네트워크를 강화하기 위한 자리로, 한국CISO협의회(회장 이기주)가 매월 개최하고 있다.
▲제112차 CISO포럼이 온라인으로 열렸다[사진=보안뉴스]
이기주 회장은 “매월 CISO포럼을 준비하면서 화두가 되는 최신 이슈를 선정해 CISO 여러분께 소개하기 위해 노력하고 있다. 오늘은 ESG 경영이 정보보호 및 사이버 보안과 어떤 관계가 있는지 들어보는 자리와 함께, 버그바운티를 통한 보안 강화 방안에 대해 소개하는 강연을 준비했다. 오늘 포럼에 참석한 여러 CISO와 강연을 준비한 전문가 여러분께 감사하다는 말씀을 드리고, 좋은 시간이 되길 기원한다”고 말했다.
온라인으로 열린 제112차 포럼에서는 삼정KPMG 김민수 전무가 ‘ESG 경영 패러다임 확산과 사이버 보안’을 주제로 강연을 진행했다. 김민수 전무는 “ESG는 기업 경영에서 규제 대응뿐만 아니라 신규기회를 창출하는 요소로 자리잡고 있다. ESG는 제조나 서비스업 등에서 중요시해왔지만, 오늘날 금융업까지 상당한 의미를 가진 경영 전략이 됐다”며, “특히 기후변화로 인한 자연재해 증가, 화석연료 기반 자산가치 하락 등 비재무적인 요소가 경영에 영향을 주면서 ESG 리스크 관리 중요성이 대두되고 있다”고 말했다.
뱅크 오브 아메리카가 발표한 자료에 따르면 코로나19 발생 이전에도 ESG 지표상 상위 20% 기업의 주가에 대한 프리미엄 가치가 평균 5%이상 높은 것으로 나타났으며, 코로나19 이후에는 이러한 가치가 더욱 빠르게 상승하고 있는 상황이다. 즉 ESG에 대한 투자 및 관리는 기업의 지속가능성을 확보하는 것과 동시에 기업 가치를 높이는 일이 됐다.
실제로 ESG 성과가 우수한 기업의 강력한 회복탄력성이 입증되면서 ESG에 대한 투자 역시 급증하고 있는 추세며, 투자자 역시 ESG에 대한 투자를 긍정적으로 여기고 있다. 특히 무디스, 피치, S&P 등 신용평가사 역시 기업 평가에 ESG를 반영하기 시작했다. S&P는 내부통제 및 리스크관리 등을 반영해 신용등급을 조정하고 있으며, 일례로 듀크 에너지 같은 석탄발전 위주의 기업에 대해 환경오염요소로 신용등급이 하향 조정되기도 했다. 이처럼 지속가능성 등의 비재무적 요소가 기업 신용등급에도 영향을 미치는 셈이다.
국내에서도 이러한 동향을 반영해 2021년까지 ESG에 대한 자율 공시를, 오는 2025년부터는 일정 규모 이상에 대한 공시를, 2030년에는 코스피 상장기업에 대한 의무공시를 추진하고 있다.
▲사이버 보안은 ESG 전략에서 주요 요소 중 하나로 자리잡고 있다[사진=보안뉴스]
사이버 보안 역시 ESG에 영향을 주는 요소 중 하나가 됐다. 김민수 전무는 “KPMG 인터내셔널이 조사한 자료에 따르면 향후 3년간 기업 성장의 가장큰 위협 요소로는 사이버 보안, 환경·기후 변화, 공급망 관리 등이 꼽혔다. 이미 기업 CEO는 뉴노멀 시대로 가면서 사이버 보안의 중요성을 크게 느끼고 있는 상황이다”고 말했다. 이어 “투자자 역시 ESG 상위 리스크 6개 요소 중에서 공급망 관리, 사이버 보안, 데이터 프라이버시 등을 꼽았다. 지속가능한 비즈니스를 위해서 개인 및 기업 고객의 중요 데이터를 안전하게 보관할 수 있는지, 각각의 프라이버시를 침해하지 않으면서도 디지털 중심의 시대에서 반드시 필요한 ‘연결성’을 유지할 수 있는지 같은 요소가 중요해졌다”고 덧붙였다.
이어지는 강연에서는 삼성SDS 이영호 프로가 ‘집단지성을 통해 해킹공격의 집단면역 체계 구축: 해킹존 버그바운티’를 주제로 강연을 진행했다. 해킹존은 삼성SDS가 운영해온 버그바운티 플랫폼으로, 자사의 버그바운티 플랫폼을 외부 기업에 서비스 형태로 제공한다.
이영호 프로는 “보통 모의해킹을 통한 취약점 점검에는 앱 하나당 평균 1.5명의 인원이 필요하며, 연간 1~2회 정도 실행하는 것이 대부분이다. 하지만, 최근 애플리케이션은 상시적으로 업데이트 및 패치가 진행되기 때문에 이러한 인원과 횟수로는 취약점 관리가 어려우며, 비용 역시 많이 든다”고 말했다. 이어, “버그바운티 기반 취약점 탐색은 더 적은 비용으로 상시적인 취약점 발견이 가능하다. 실제로 해킹존이 버그바운티 프로그램을 운영해본 결과 참여자가 단 10분만에 버그를 발견해 제보하기도 했다. 다만, 한국의 경우 보수적인 기업 문화 때문에 자사 서비스의 버그가 노출되는 것을 기피하는 경향이 있다. 하지만, 이렇게 제보하지 않으면 평생 몰랐을 취약점을 버그바운티를 통해서 발견해 수정 및 개선할 수 있다. 이러한 프로그램이 활성화돼야 구글, 모질라 등의 글로벌 선두 기업을 따라갈 수 있다”고 덧붙였다.
한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
