이 기사는 2023년 07월 13일 10:37 thebell 에 표출된 기사입니다.

"SK쉴더스의 사명은 보호하다(shield)와 우리(us)를 결합한 것으로 고객과 사회, 우리 모두가 안심할 수 있는 환경을 만들겠다는 의미를 담고 있다."

SK쉴더스 지속가능경영보고서 CEO 메시지에 담긴 내용이다. '안녕을 지키는 기술'을 슬로건으로 내세울 만큼 새로운 ICT 기술을 기반으로 안녕한 사회를 만드는 게 최대 미션이다.

여기 걸맞게 올해 데이터 보안과 개인정보보호를 ESG 중대 토픽 최우선순위 이슈로 선정했다. SK쉴더스는 사내에 보안관제나 침해사고분석 등을 담당하는 전문가 그룹을 갖추고 있다. 지난해 한국인터넷진흥원(KISA)으로부터 정보보호투자 우수기업으로 꼽히기도 했다.

◇본업에 수반되는 리스크 '데이터 보안&개인정보보호'

SK쉴더스는 최근 '지속가능경영보고서 2023'을 발표했다. 작년에 이어 올해로 두 번째다. 비상장사임에도 ESG경영 전략과 주요 과제를 체계적으로 관리하고 투명하게 공개하고자 ESG위원회를 선제적으로 설치하고 사내 전담 조직을 운영해 왔다.

올해 SK쉴더스는 이중 중대성 평가를 통해 7개 핵심 대응 영역과 2개 전략적 대응 영역을 선정했다. 특히 가장 큰 중대 토픽으로 '데이터 보안&개인정보보호'가 꼽혔다.

SK쉴더스는 사업 수행 시 발생하는 데이터가 워낙 방대해 정보보안이나 개인정보 침해 위험에 대한 노출이 커지기 쉽다. 이에 따른 피해 규모도 광범위하며 데이터 보안 위협은 지속해서 커지는 상황이다. 보안 실패로 인한 시스템 중단, 고객 정보나 기밀 유출 등으로 고객 이탈이나 평판 손상, 법규 위반으로 금전적 손실을 야기할 위험도 있다.


이에 SK쉴더스는 보안 전문 기업으로서 데이터 보안과 개인정보보호가 핵심 기술·서비스이자 사회적 책임임을 인식하고 있다. 정보보호와 개인정보 관리체계를 구축하고 빠르게 발전하는 IT 기술에 상응해 보안성 검토 영역과 기준을 고도화하고 있다. 관련 법규와 기관의 보안 요구사항을 철저히 준수한다는 입장이다.

◇내부 정보보호 전문가 그룹 갖춰, 정보보호 부문 투자 지속

실제 SK쉴더스는 정보보호와 관련된 조직을 체계적으로 운영하고 있다. ESG실 산하 정보보호그룹은 SK쉴더스의 정보보호 정책을 수립하고 대내외 보안 이슈에 대응하는 역할을 맡고 있다.

정보보호그룹은개인정보보호팀과 정보보호기획팀으로 구성돼 있다. 정보보호그룹장을 정보보호최고책임자(CISO) 겸 개인정보보호 최고책임자(CPO)로 지정했다.

아울러 사내 전문가 그룹을 갖춘 게 특징이다. 우선 이큐스트(EQST)는 국내 최대 규모의 화이트해커 조직이다. 모의 해킹, 취약점 연구·진단 등 업무를 수행하고 있다.

시큐디움(Secudium)은 보안 전문가로 구성된 전문 관제 인력을 중심으로 신규 위협 추적, 악성코드 분석, 해킹 사고 대응 등 미션을 수행한다. 또 원격환경에서 실시간으로 보안시스템을 모니터링하고, 이상징후를 분석해 공격 여부를 판단해 차단한다.

시큐디움 센터는 해킹 위험을 모니터링하고 차단하는 보안관제 역할을 맡는다. 시큐디움 플랫폼은 대량 이벤트 분석을 위한 빅데이터 엔진 기술과 해킹 위험 판단을 위한 AI 기술을 적용했다.

탑서트(Top-Cert)는 해킹 사고 발생 즉시 현장에 투입돼 원인 분석 및 해킹 경로 추적을 수행하고 대책을 제시한다. 국가정보원, 행정안전부, 경찰청 등 국가기관과 공조해 수사를 진행하기도 한다.


SK쉴더스는 정보보호 투자에도 적극적인 모습이다. 한국인터넷진흥원(KISA) 정보보호 공시 종합 포털에 따르면 지난해 SK쉴더스는 '정보보호 투자 우수기업'으로 선정됐다. 정보보호 관리체계 인증이나 정보보호 준비도 평가 AA 등급 이상을 받은 사업자 가운데 정보보호 공시를 이행한 경우에 부여한다.

2021년 기준으로 정보기술부문에 634억원을 투자했는데 그중 7.22%에 해당하는 46억원을 정보보호부문에 투자했다. 정보보호 부문 전담 인력도 19.6명을 기록했다.

정보보호 예방 활동도 활발히 이뤄졌다. 지난해 SK쉴더스는 정보보호 관리체계 강화를 위해 정보보호 관련 지침을 개정하고 실효성을 높이는 데 주력했다. 전사 모든 서비스를 대상으로 인프라 취약점을 진단하고 모의해킹을 수행했다. 또 그 결과에 대한 반복적인 이행점검을 통해 최종 조치에 이르기까지 보안성을 확보했다는 입장이다.