영풍, 정보보호 국제표준 'ISO 27001' 인증 획득

글로벌 표준 정보보호 경영시스템인 ‘ISO/IEC 27001:2022’. ⓒ영풍

영풍이 본사 핵심 정보시스템과 전산 인프라 전반에 대한 정보보호 관리체계를 국제 기준에 맞춰 구축했다.

영풍은 지난 10일 글로벌 표준 정보보호 경영시스템인 'ISO/IEC 27001:2022' 최초 인증을 획득했다고 12일 밝혔다.

ISO/IEC 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 정보보호 분야 국제 표준 인증 체계다. 기업의 정보보호 정책, 위험관리, 접근통제, 운영보안 등 관리체계 전반을 평가한다.

이번 인증 심사는 영풍 본사에서 운영 중인 SAP ERP, 그룹웨어, 홈페이지 등 주요 정보시스템과 전산 인프라 전반을 대상으로 진행됐다. 심사 결과 영풍은 글로벌 기준에 맞춘 정보보호 관리체계를 수립한 것으로 평가받았다.

영풍은 해킹, 랜섬웨어, 내부자 정보 유출 등 복합적인 보안 리스크에 대응하기 위해 전담 조직인 '정보보호 TF'를 신설했다. 글로벌 표준 가이드라인에 맞춘 보안 체계를 구축하는 데 전사적 역량을 투입해 왔다.

최근 생성형 인공지능(AI) 기반 사이버 공격 위협이 커지는 점도 정보보호 체계 강화 배경으로 꼽힌다. 영풍은 본사와 석포제련소 임직원 실무에 대형언어모델(LLM)을 도입하면서 사내 정보보안 중요성이 커졌다고 설명했다.

이번 인증을 통해 영풍은 글로벌 벤더, 대규모 파트너사, 정부 기관 등과의 기업 간 거래(B2B)에서 요구되는 정보보안 역량을 객관적으로 제시할 수 있게 됐다. 디지털 전환 환경에서 정보보안 체계는 기술 자산 보호뿐 아니라 글로벌 사업 신뢰도와도 연결되는 요소다.

인증 심사 과정에서는 최고정보보호책임자(CISO)를 맡은 부사장을 비롯한 경영진의 정보보호 의지와 기술 통제 운영 체계도 평가됐다. 심사단은 인증 추진 이전부터 운영한 데이터유출방지(DLP)·디지털저작권관리(DRM) 체계, 정보보호 TF와 전산운영팀 간 직무 분리, SAP 계정 및 데이터베이스(DB) 접근 통제의 정기 모니터링 등을 강점으로 평가했다.

외주업체 원격 접속을 전면 불허하는 원칙도 주요 통제 항목으로 언급됐다. 영풍은 SAP 계정과 DB 접근 통제를 내부회계 감사(ITGC)와 연계해 매월 점검하고 있다.

영풍은 이번 인증이 개인정보보호법과 정보통신망법 준수뿐 아니라 정보보호 공시 제도와 환경·사회·지배구조(ESG) 평가 내 정보보안 지배구조 항목 대응에도 도움이 될 것으로 보고 있다.

ISO 27001 인증은 최초 취득 후에도 매년 사후 심사와 3년 주기 갱신 심사를 거쳐야 한다. 영풍은 이번 본사 인증에 그치지 않고 향후 석포 사업장까지 인증 범위를 넓히는 2단계 확장 계획을 추진한다.

영풍은 정보보호 시스템 고도화 투자를 이어가며 고객과 파트너사가 신뢰할 수 있는 디지털 보안 체계를 구축한다는 방침이다.