[디지털투데이 황치규 기자]ESG(Environment, Social, Governance: 환경, 사회, 지배구조)가 기업 경영에서 갖는 중요성이 글로벌 차원에서 커지면서 국내 기업들 행보도 빨라지고 있다.
모건스탠리캐피탈인터내셔널(MSCI)가 ESG 기업 평가지표에서 ‘정보보호’를 핵심 활동으로 규정하면서 보안과 관련한 기업들 움직임도 분주하다.
보안 전문 업체들도 ESG를 전면에 배치하기 시작했다. SK쉴더스도 보안 정보 공유, 인재 양성을 키워드로 내걸고 ESG 경영에 본격적인 시동을 걸었다. SK쉴더스는 ESG 경영 활동을 추진하며 얻은 노하우를 대외로 공유하고, ESG 경영을 확대해 나간다는 방침이다.
우선 SK쉴더스는 보안 체계 구축 노하우를 활발하게 공유하고 있다. SK쉴더스 사이버보안 사업부문 ‘인포섹’은 20여년간 사이버보안 사업을 수행하며 축적한 노하우를 공유하는 활동을 통해 민관에 걸쳐 사이버 안전망 구축을 지원해왔다.
SK쉴더스 화이트해커그룹 ‘EQST’(Experts, Qualified Security Team)는 공익 목적 사이버보안 지식 공유에도 적극적이다. EQST는 IBM X 포스 리서치, 파이어아이 맨디언트 등 글로벌 기업 전문 연구 조직들과 대응한 위협 정보 연구 역량을 갖춘다는 목표 아래 2017년 설립됐다.
100여명으로 구성돼 있고 모의해킹, 취약점 연구/진단 등의 업무를 수행해왔다.
출범 이후EQST는 ‘오픈 소스 소프트웨어 보안’, ‘사물인터넷 보안’, ‘언택트 시대 보안 위협과 대응방안’ 등 매년 주목할 만한 보안 이슈 발표하며 연구 활동을 공개해왔다. 매달 발간하는 ‘EQST 인사이트’를 통해 보안 트렌드와 취약점 분석, 해킹 사고 대응 방안도 공유하고 있다.
침해 사고 분석과 대응을 전담하는 팀인 인포섹 ‘톱-CERT’는 최근 이슈가 된 오픈소스 소프트웨어 ‘아파치 Log4j’ 취약점과 관련 해킹 여부를 확인할 수 있는 무료 점검 툴을 배포했다. 보안 패치를 빠르게 적용한 기업이라도 패치 이전 공격 흔적을 탐지해 잠재적인 보안 위협에 대비할 수 있도록 했다는게 회사측 설명이다.
![SK쉴더스 통합보안관제센터 시큐디움센터 전경. [사진: SK쉴더스]](https://cdn.digitaltoday.co.kr/news/photo/202201/432089_417635_2928.jpg)
톱-CERT는 그동안 주요 사이버 위협 정보와 점검 툴을 대외에 공개해왔다. 정부와 기업에서 주로 사용하는 PC관리 솔루션 제로데이 취약점을 제보하고 점검 툴을 무료로 공개하기도 했다. 원격코드실행 취약점 위험성과 대응방안도 공유하고 있다.
SK쉴더스 인포섹은 사이버보안 전문가 조직이 보유한 다양한 보안 사업 수행 경험과 인사이트를 바탕으로 지능화/고도화되는 사이버 공격에 대응할 수 있는 방안 마련에 주력하고 있다. 사이버공격의 경우 예방 활동이 우선적으로 이뤄져야 기업 피해를 줄일 수 있기 때문에 기업들이 스스로 위협을 점검하고 예방할 수 있는 환경을 조성하는데 무게를 두고 있다.
이의 일환으로 2019년부터 클라우드 서비스 사용자를 위한 보안 가이드북 3종을 무료로 배포했다. 가이드북은 아마존웨서비스(AWS), 마이크로소프트 애저(AZURE), 구글 클라우드 플랫폼(GCP) 등 기업이 사용하는 클라우드 서비스에 맞춰 사용자가 관리해야 할 클라우드 구성 요소들의 보안정책 설정 방법을 담고 있다. 보안전문가가 아니더라도 사용자가 직접 가이드북을 보고 보안 조치를 할 수 있도록 가독성과 편의성을 높였다고 회사측은 강조했다.
이후 ‘2021 클라우드 보안 가이드북’, ‘클라우드 모의해킹 방법론’ 등을 발간하며 클라우드 전환 시 발생할 수 있는 어려움에 대한 정보를 많은 기업들에게 제공해왔다. ‘정보보호 시스템 구축 가이드’ ‘개인정보보호 가이드’ 등도 발간하며 기업이 준수해야 할 법령과 기술적/관리적/물리적 조치 방안 정보도 지원하고 있다.
인력 양성도 SK쉴더스가 ESG와 관련해 강조하는 키워드다. SK쉴더스는 고용노동부가 주관하고, SK쉴더스가 교육훈련 기관으로 참여하는 ‘K-디지털 트레이닝’ 교육 과정인 ‘SK쉴더스 루키즈’를 4년째 운영중이다. ‘K-디지털 트레이닝’은 정부가 추진하는 ‘한국형 뉴딜’을 뒷받침할 디지털·신기술 분야 실무형 인재 20만명 양성을 목표로 하는 직업훈련 교육과정이다. 디지털 선도기업이 실무 중심의 훈련과정을 직접 설계하고, 대학교 등 전문 교육기관이 운영에 참여한다.
SK쉴더스는 ‘클라우드 보안 융합전문가’, ‘클라우드 기반 데이터 보안 전문가’ 과정 등 두 개의 교육과정을 운영한다. 클라우드 보안 컨설팅부터 솔루션 구축∙운영, 관제 등 다양한 클라우드 보안 사업 경험을 교육 과정에 반영했다. 교육 과정을 수료한 교육생에 대해서는 직접 채용을 진행하고, SK쉴더스와 채용 협약을 맺은 기업들에 채용 연계를 지원하고 있다.
SK쉴더스 관계자는 ”디지털 전환이 가속화되고 랜섬웨어와 같은 사이버위협이 급증하고 있어 개인/기업/사회 보안 의식을 제고하고 적극적인 정보보호활동이 이뤄져야 한다”며 “SK쉴더스는 사이버보안 1위에 걸맞은 역량을 바탕으로 보안 여력이 부족한 중소/중견기업에서도 안전한 보안 시스템을 구축할 수 있도록 정보 공유와 인재 양성에 앞장설 것”이라고 말했다.