- 메타버스(가상현실) 관련 시장 규모 폭발적 증가, 향후 ESG 사회(S) 분야에서는 개인정보와 데이터 보안 이슈 중점 관리 필요
- 정보유출 관련 콘트로버시 사건 발생 시 기업 신뢰도와 ESG 등급에 악영향, 사고 발생 시 기업 대응 태도 등도 중요
- 기업 내 정보보안 이슈에 대한 체계적 시스템(거버넌스, 프로세스, 통합보안센터 등) 운영하여 정보보안 이슈 대응해야
최근 메타버스·블록체인·대체불가토큰(NFT) 등 가상현실 시장규모가 급격히 성장하는 추세에서 국내외 메타버스 대표기업 중 ESG(환경·사회·지배구조) 리더 기업은 네이버, 마이크로소프트라는 조사결과가 발표됐다.
전국경제인연합회(회장 허창수, 이하 전경련)는 국내외 대표적인 메타버스 기업을 대상으로 글로벌 ESG 평가기관인 MSCI의 평가등급을 살펴보고 개인정보보호 우수기업의 정보정책 사례를 분석한 보고서를 발표했다.
보고서에 따르면 대표적 메타버스 기업 열 곳 가운데 최상위 AAA*등급을 받은 곳은 네이버, 마이크로소프트, 소니, 엔비디아 등 네 곳이다. 특히 해당 업종의 중요한 평가항목인 개인정보·데이터 보안 분야에서는 네이버(제페토), 마이크로소프트가 우수(리더)등급을 받았다. 네이버는 이 밖에도 지배구조, 기업행태(윤리 등), 인적자본개발, 탄소배출에서도 우수등급**을 받았다.
* MSCI의 ESG 평가는 AAA, AA, A, BBB, BB, B, CCC 7등급으로 나뉨
** 세부 카테고리에 대한 평가는 우수·보통·미흡 3단계 등급으로 나뉨
산업 | 기업명 | 국가 | 평가일자 | ESG등급 | 개인정보보호 등급 |
메타버스 | 마이크로소프트 | 미국 | Mar-21 | AAA | 리더 |
제페토(네이버) | 대한민국 | May-21 | AAA | 리더 | |
텐센트뮤직엔터테인먼트 | 중국 | Mar-20 | BB | 리더 | |
페이스북 | 미국 | Nov-20 | B | 보통 | |
유니티 소프트웨어 | 미국 | Jun-21 | BB | 보통 | |
알리바바그룹홀딩스 | 중국 | Dec-20 | BB | 보통 | |
소니그룹 | 일본 | Dec-20 | AAA | - | |
텐센트홀딩스 | 중국 | Apr-21 | BBB | 보통 | |
이프랜드(SKT) | 대한민국 | Sep-21 | A | 보통 | |
엔비디아 | 미국 | Oct-20 | AAA | - |
메타버스 관련 시장은 폭풍 성장 중... KB, ‘향후 사회(S)분야 중점과제는 개인정보보호&데이터 보안 이슈 될 것’
글로벌 컨설팅회사인 프라이스워터하우스 쿠퍼스(PwC)는 지난 2019년 발표한 보고서에서 메타버스* 관련(AR·VR 등 증강·가상현실) 시장규모를 2019년 464억 달러에서 2030년 약 1조 5천억 달러에 이를 것이라고 전망한 바 있다.
메타버스 관련 시장이 급성장하면서 대체불가토큰(NFT)시장 또한 성장하고 있다. 대체불가토큰은 모든 형태의 디지털 자산을 토큰화할 수 있는 자산으로 메타버스에서 범용가능한 가상자산이다. 지난 2020년 NFT 시장규모의 경우 2018년에 비해 8배 이상 증가하는 등 폭발적인 성장세를 보이고 있다.
* 메타버스는 ‘초월’을 뜻하는 메타(Meta)와 ‘현실세계’를 뜻하는 유니버스(Universe)의 합성어로 현실세계와 동일한 문화·경제 활동이 이뤄지는 가상세계를 의미한다.
MSCI는 사회분야 중요이슈로 프라이버시·데이터 보안 평가 중... 관련 콘트로버시 사례 주목하여 대비해야
글로벌 ESG 평가기관인 MSCI의 ESG 평가 카테고리는 총 35개*로 그 중 개인정보·데이터보안은 사회 분야**에 속한다. 각 평가 카테고리는 산업별로 평가 가중치***가 다른데 개인정보·데이터보안의 경우 인터넷·직접판매, 양방향 미디어 서비스, 대체 운송, 무선이동통신, 홈 엔터테인먼트 등 산업에서 가중치가 높다.
순위 | 세부산업 | 가중치 | 순위 | 세부산업 | 가중치 |
1 | 인터넷·직접판매(임의소비재) | 29.0% | 6 | 홈 엔터테인먼트(통신서비스) | 25.0% |
2 | 양방향 미디어 서비스(통신서비스) | 28.9% | 7 | 인터넷 서비스, 인프라(IT) | 23.0% |
3 | 대체 운송(통신서비스) | 27.3% | 8 | 컴퓨터·전자장비(임의소비재) | 22.4% |
4 | 무선 이동통신 서비스(통신서비스) | 26.1% | 9 | 데이터 처리 및 아웃소싱(IT) | 22.2% |
5 | 통합 이동통신 서비스(통신서비스) | 25.9% | 10 | 케이블·위성(통신서비스) | 22.0% |
* 환경(E)분야 13개, 사회(S)분야 16개, 거버넌스(G)분야 6개로 총 35개 평가 카테고리 존재
** 사회(S) 분야 평가 카테고리: 노동관행, 인적자본 개발, 보건/안전, 공급망 노동 기준, 제품안전·품질, 화학물질 안전성, 소비자 금융 보호, 개인정보 및 데이터 보안, 책임투자, 보건 및 인구 통계 리스크(demographic risk) 등
*** ESG 평가 가중치의 합은 환경(E), 사회(S), 지배구조(G) 각 평가요소의 합이 100%로 이뤄짐
국내 금융기관 역시 기업 데이터 보안 중요성에 주목하고 있다. 약 620조 원의 자산을 보유한 KB금융그룹 윤종규 회장은 최근 전경련이 개최한 K-ESG 얼라이언스에서 "ESG는 지나가는 바람이 아닌 사회 조류가 바뀌는 것"이라며, "앞으로 사회 분야에서는 개인정보보호 분야 등에서 중요도가 높아질 것"이라고 강조한 바 있다.
한편 전경련 관계자는 주요 개인정보 유출사고 발생 시, 개인정보 분야 가중치가 높은 산업의 경우 ESG 등급 하락으로 이어질 수 있을 수 있으니 정보유출 이슈에 민감하게 대응해야 한다고도 조언했다. 일례로 페이스북의 경우 대규모 정보유출 사고에 미흡한 대응 태도를 보였다는 평가를 받고 있으며 페이스북의 MSCI 등급은 B, 프라이버시·데이터 보안 등급은 ‘보통’, 기업행동 등급은 ‘미흡’이다.
거버넌스, 대응 프로세스 등 프라이버시·정보보안에 대한 체계적 대응체계 있어야
인터넷·직접판매, 양방향 미디어 서비스, 무선이동통신 서비스 업종에서 개인정보보호 우수기업은 네이버, 카카오, LG유플러스, 알파벳, 아마존, 마이크로소프트 등이었다.
ESG 평가 우수기업들의개인정보 및 데이터 보안 정책을 살펴본 결과, 네이버는 거버넌스 측면이 눈에 띄었다. 정보보호조직을 둘로 분리해 정보보호최고책임자(CISO, Chief Information Security Officer)와 개인정보보호책임자(CPO, Chief Privacy Officer)를 별도 지정하고 있다. 이는 광범위한 정보보안 영역을 구분하여 효과적으로 관리하기 위함으로 CISO는 전사적 데이터보안을, CPO는 이용자의 개인정보보안을 분담하여 효과적으로 관리하고 있다. 또 CEO 주재 프라이버시 위원회를 운영하여 C레벨에서 정보보안 리스크를 관리한다.
마이크로소프트는 독자적인 통합보안솔루션 '제로 트러스트(Zero Trust)' 보안 모델 구축과 애저 보안 센터(Azure Security Center) 서비스를 고객기업에 제공하고 있는 점이 특징이다. 이를 통해 MS는 클라우드 서비스 등 디지털 환경 내에서 ‘모든 접속과 행위를 검증’하여 경계 없는 정보보안에 힘쓰고 있다.
그 외 개인정보·데이터보안 우수평가를 받은 기업들은 대체로 △거버넌스(C-레벨 책임자 지정을 통한 정보이슈 관리, 정보 위원회 운영), △ 정보 이슈 대응 프로세스 완비, △365통합보안센터 운영, △전사 보안교육 정례화 등의 공통점이 있었다.
전경련은 “가상현실의 관심도와 성장세를 보면 향후 메타버스 등 관련 시장이 더욱 활성화될 것으로 전망된다”며 “ 시장 진입 기업은 데이터 보안과 고객 개인정보관리 등 정보 보안이슈의 체계적 관리를 통해 ESG 등급을 관리해야 한다”고 말했다.
※ <첨부> [ESG MEMO] Vol 12. ESG 개인정보보호 국내외 우수기업 사례