지난 4월 14일 서울 여의도 한국거래소 컨퍼런스홀에서 'ICGN 한국 컨퍼런스 2026'이 열렸다. 이날의 핵심 의제는 밸류업 프로그램 성과와 스튜어드십 코드 국제 비교였지만 일부 연사들은 이사회가 반드시 다뤄야 할 할 지속가능성 리스크로 사이버 보안을 언급했다. 글로벌 기관투자자 네트워크인 국제기업지배구조네트워크(International Corporate Governance Network, 이하 ICGN)가 기업지배구조 컨퍼런스의 공식 프레임 안에 사이버 보안을 올려놓았다는 사실이 시사하는 바는 작지 않다.
사이버 보안 이슈의 파급력
2025년은 한국 사이버 보안 역사에서 분기점이 된 해였다. 과학기술정보통신부와 한국인터넷진흥원이 발표한 사이버 보안 위협 동향 보고서에 따르면, 2025년 국내 기업 개인정보 침해사고 신고 건수는 2,383건으로 2024년 대비 26.3% 증가했다. 그 중에는 우리 모두가 기억할 SK텔레콤과 쿠팡의 개인 정보 유출 사고가 있었다. 우선, 2025년 4월 악성코드 공격으로 가입자 정보가 대규모 유출된 SK텔레콤 개인 정보 유출 사고는 ESG 공시에 앞장서온 통신 대기업이 정작 핵심 인프라 보안에서 구조적 허점을 드러낸 대표적 사례로 기록됐다. 개인정보보호법 과징금 기준 변경되어 최대 5,000억 원대 제재가 언급될 정도로 기업의 재무적 파급력도 컸다.
[2025년 4월 SK텔레콤 개인 정보 유출 사고 관련 안내 © SK텔레콤]
같은 해 11월에는 국내 최대 이커머스 플랫폼 기업 쿠팡에서 3,370만 개 계정의 이름, 주소를 비롯한 주문정보가 무더기로 유출됐다. 쿠팡이 개인 정보 유출 피해 사실을 인지한 시점은 최초 사고 발생일로부터 12일 뒤였다. 초기에 파악된 피해 규모 4,500건과 실제 규모 3,370만 건 간의 격차는 기업 내부 통제와 모니터링 체계의 총체적 공백을 드러냈다. S&P글로벌(S&P Global)은 사고 직후 쿠팡의 ESG 점수를 하향 조정했다. 쿠팡에는 최대 1조 2,000억 원의 과징금이 거론되었으며, 이 사고는 사이버 보안 실패가 ESG 평가와 기업 가치에 직결된다는 것을 다시 한번 증명했다.
글로벌은 규제로 응답한다
한국에서 침해사고가 급증하는 동안 글로벌 규제 당국은 사이버 보안을 이사회 책임 의제로 법제화하는 흐름을 만들어가고 있다. 미국증권거래위원회(Securities and Exchange Commission, SEC)는 2025년 12월 사이버 보안 공시 규정 개정을 통해 중대한 사고를 의무 보고 대상으로 규정하고, 이사회의 직접 감독 책임을 명문화했다. 해당 개정 내용을 바탕으로 미국 금융 회사들은 2026년 6월 3일까지 고객 데이터 침해 사고에 대한 체계 구축과 이를 준수하기 위한 대응을 압박 받고 있다.
유럽은 2025년 1월부터 디지털 운영 복원력 법(Digital Operational Resilience Act, DORA)을 시행하고 있다. 이 법에 따라 EU 내 금융기관은 주요 보안 사건 보고와 디지털 운영 복원력 시험 수립 등을 준수해야한다. 경제협력개발기구(Organization for Economic Cooperation and Development, 이하 OECD) 역시 2025년 10월 발행한 보고서 <OECD 기업지배구조 팩트북 2025(OECD Corporate Governance Factbook 2025)>에서 '이사회는 지속가능성과 사이버 보안을 포함한 핵심 리스크의 허용 범위를 정의하고 관리 정책을 보장해야 한다'고 명시했다.
[2023년 1월 16일 발효되어 2025년 1월 17일부터 정식 적용 중인 ‘디지털 운영 복원력 법(DORA)’ © ESMA 공식 홈페이지]
사이버 보안, IT팀의 과제에서 이사회 책임으로
그렇다면 지금, 사이버 보안이 이사회의 책임 의제를 넘어 ESG 의제로 언급되는 이유는 무엇일까. 네덜란드의 온라인 학술지 플랫폼 사이언스다이렉트(ScienceDirect)는 2025년 한 해 동안 사이버 공격으로 인해 발생한 글로벌 경제 손실을 약 10조 5,000억 달러로 추산했다. 미국의 투자 전문 리서치 기업 도넬리 파이낸셜 솔루션스(Donnelley Financial Solutions)는 2025년 11월, 공식 블로그 포스팅에서 '투자자들이 기업 거버넌스 강화와 사이버 보안 감독, 인적 자본을 재무적으로 중요한 ESG 요소로 집중 점검하고 있다'고 밝혔다.
한국은 2028년부터 자산 총액 30조원 이상 코스피 상장사를 대상으로 ESG 공시가 의무화 될 예정이다. 또한, 국제지속가능성기준위원회(International Sustainability Standards Board, ISSB)기준과 호환되는 한국지속가능성공시기준이 코스피 상장사부터 단계적으로 적용될 방침이다. 이 공시 체계 안에서 사이버 보안은 더 이상 IT팀만의 기술 과제가 아니다. SK텔레콤 개인 정보 유출 사고가 보여줬듯이 사이버 보안 사고는 기업 ESG 평판 리스크, 투자자의 신뢰 하락, 과징금 폭탄으로 직결된다. 이러한 구조에서 이사회가 사이버 보안을 직접 감독하지 않는 것은 거버넌스 공백이나 다름 없다. ICGN 한국 컨퍼런스 2026에서 사이버 보안이 주요 과제 중 하나로 언급된 것은 그 공백을 채우지 못한 기업에게 글로벌 자본이 더 이상 관대하지 않을 것을 알리는 사전 경고다.
by Editor N
