3년간 매년 100억원 투자한 CJ대한통운
[물류]운수업종 최상위권…예산·거버넌스·협력사 관리 3박자
편집자주
“세상엔 두 종류의 기업이 있다. 해킹을 당한 곳과, 아직 그 사실을 모르는 곳.” 세계적 보안업체 시스코의 진단이다. 완벽한 방어는 없으며 공격자는 결국 침투할 방법을 찾아낸다. 그래서 보안 전략의 근간은 기술이 아닌 프로세스에 있다. 조직 설계와 절차 개선, 꾸준한 투자가 끊임없이 순환하는 과정이다. 끝나지 않는 전쟁, 디지털 자산을 지키려는 기업들의 방패는 얼마나 견고할까. 더벨 SR(서치앤리서치)본부가 두드려봤다.
CJ대한통운은 2022년부터 지난해까지 매년 100억원 안팎의 예산을 정보보호에 투입했다. 연간 100억원 단위의 투자규모는 물류기업뿐 아니라 전체 업권으로 비교군을 확대해도 상위권에 속한다. 2021년 이후 투자규모가 급격하게 확대된 점을 미뤄보면 팬데믹 이후 물동량이 급증하면서 정보보호 예산도 확대한 것으로 보인다.
투자 방향성도 일부 장비나 솔루션에 치우치기보다 정보보호 부문 전방위의 개선을 위해 설계돼 있다. 알리익스프레스 등 글로벌 이커머스 기업과의 협업을 구축하고 있는 만큼 CJ대한통운의 정보보호 투자 규모는 앞으로도 유지될 것으로 전망된다.
◇3년 연속 100억원 안팎 투자, 물류업 상위권 플레이어
2025년 한국인터넷진흥원(KISA) 공시에 따르면 CJ대한통운은 2022년부터 최근 3년간 연간 100억원 안팎을 정보보호부문에 투자했다. 2022년 116억원, 2023년 92억원, 2024년 105억원 등이다.
절대 투자액은 유지한 가운데 정보기술부문 투자액 자체가 확대되면서 비중은 다소 줄었다. 2022년 13.2%에서 2023년 8.0%, 2024년 7.1%로 이어졌다.
운수업종에서는 CJ대한통운이 투자액과 전담인력 부문에서 꾸준히 최상위권에 올랐다. 국내 773개 기업의 평균이 6.29%다.
투자금 집행 내역도 구체적으로 밝혔다. 2022년에는 전년 대비 투자금을 180% 확대하면서 모바일 APP 워터마트 시스템과 DB Zone 방화벽 구축에 나섰다. 이듬해에는 물류 사업장 네트워크 망분리 구축, 주요 사업 거점 노후 VPN 교체를 진행했다. 지난해에는 개인정보 처리 로그 분석 시스템 등을 마련했다.
◇대표이사·CISO·CPO로 이어지는 체계…OT·해외법인까지 확장
CJ대한통운은 지속가능보고서 등을 통해 정보보호 전담 조직도와 거버넌스를 공개하고 있다. 대표이사 직속 체제로 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 지정해 운영한다고 밝힌다.
CJ대한통운은 두 책임자를 관련 법령이 요구하는 자격요건을 갖춘 인물로 선임했다고 전했다. 정보보호 부서는 정보자산 보호와 개인정보 민원 처리를 전담한다.
CISO와 경영지원 실장 등 경영리더들이 정보보안 안건을 논의하는 회의 체계도 갖춰져 있다. CJ대한통운은 정보보호위원회와 관련 협의회를 정기적으로 운영해 정보보호 활동에 필요한 예산과 인력을 논의한다고 설명했다. 협력사·해외법인까지 포함한 정보보안 실태를 정기 점검하는 프로세스도 구축했다.
인증과 관리체계 측면에서도 틀을 갖췄다. CJ대한통운은 정보보호경영시스템 국제표준인 ISO 27001과 국내 정보보호관리체계(ISMS) 인증을 보유하고 있다. 물류 현장의 OT 보안 통제 체계를 2024년에 완결했다는 점도 눈에 띈다. 물류센터 설비와 자동화 장비, 차량 관제 시스템 등 운영기술 영역까지 보안 통제 범위를 넓힌 것이다.
◇협력사·플랫폼·해외까지 이어지는 '데이터 체인'
CJ대한통운의 정보 체인은 협력사와 플랫폼, 해외까지 다각도로 연결돼 있다. 때문에 협력사와 위탁업체를 관리하는 방식도 중요하다.
회사는 택배 배송, e-풀필먼트, 이사, 국제특송 등 서비스 과정에서 고객 개인정보를 처리하는 협력사와 개인정보 처리 위탁 계약을 체결하고, 개인정보 취급자를 대상으로 한 보호 교육을 실시한다고 보고서를 통해 밝혔다.
해외 조직에 대한 통제도 확대 중이다. 회사는 2024년 기준으로 해외 조직을 대상으로 보안 서비스를 진단하고 취약점을 개선했다고 명시했다. 글로벌 포워딩·국제특송·해외법인 IT 시스템이 국내 본사와 연동돼 있는 만큼 국외에서 발생하는 보안 리스크를 국내 체계를 통해 관리하려는 시도다.
자사 앱 통합 작업을 통해 데이터 관리 체계도 통일했다. CJ대한통운은 CJ대한통운 택배 앱, 배송기사용 HELLO 앱 등 20여개 모바일 앱을 통합 관리하는 프로젝트를 추진했다.
투자 방향성도 일부 장비나 솔루션에 치우치기보다 정보보호 부문 전방위의 개선을 위해 설계돼 있다. 알리익스프레스 등 글로벌 이커머스 기업과의 협업을 구축하고 있는 만큼 CJ대한통운의 정보보호 투자 규모는 앞으로도 유지될 것으로 전망된다.
◇3년 연속 100억원 안팎 투자, 물류업 상위권 플레이어
2025년 한국인터넷진흥원(KISA) 공시에 따르면 CJ대한통운은 2022년부터 최근 3년간 연간 100억원 안팎을 정보보호부문에 투자했다. 2022년 116억원, 2023년 92억원, 2024년 105억원 등이다.
절대 투자액은 유지한 가운데 정보기술부문 투자액 자체가 확대되면서 비중은 다소 줄었다. 2022년 13.2%에서 2023년 8.0%, 2024년 7.1%로 이어졌다.
운수업종에서는 CJ대한통운이 투자액과 전담인력 부문에서 꾸준히 최상위권에 올랐다. 국내 773개 기업의 평균이 6.29%다.
투자금 집행 내역도 구체적으로 밝혔다. 2022년에는 전년 대비 투자금을 180% 확대하면서 모바일 APP 워터마트 시스템과 DB Zone 방화벽 구축에 나섰다. 이듬해에는 물류 사업장 네트워크 망분리 구축, 주요 사업 거점 노후 VPN 교체를 진행했다. 지난해에는 개인정보 처리 로그 분석 시스템 등을 마련했다.
◇대표이사·CISO·CPO로 이어지는 체계…OT·해외법인까지 확장
CJ대한통운은 지속가능보고서 등을 통해 정보보호 전담 조직도와 거버넌스를 공개하고 있다. 대표이사 직속 체제로 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 지정해 운영한다고 밝힌다.
CJ대한통운은 두 책임자를 관련 법령이 요구하는 자격요건을 갖춘 인물로 선임했다고 전했다. 정보보호 부서는 정보자산 보호와 개인정보 민원 처리를 전담한다.
CISO와 경영지원 실장 등 경영리더들이 정보보안 안건을 논의하는 회의 체계도 갖춰져 있다. CJ대한통운은 정보보호위원회와 관련 협의회를 정기적으로 운영해 정보보호 활동에 필요한 예산과 인력을 논의한다고 설명했다. 협력사·해외법인까지 포함한 정보보안 실태를 정기 점검하는 프로세스도 구축했다.
인증과 관리체계 측면에서도 틀을 갖췄다. CJ대한통운은 정보보호경영시스템 국제표준인 ISO 27001과 국내 정보보호관리체계(ISMS) 인증을 보유하고 있다. 물류 현장의 OT 보안 통제 체계를 2024년에 완결했다는 점도 눈에 띈다. 물류센터 설비와 자동화 장비, 차량 관제 시스템 등 운영기술 영역까지 보안 통제 범위를 넓힌 것이다.
◇협력사·플랫폼·해외까지 이어지는 '데이터 체인'
CJ대한통운의 정보 체인은 협력사와 플랫폼, 해외까지 다각도로 연결돼 있다. 때문에 협력사와 위탁업체를 관리하는 방식도 중요하다.
회사는 택배 배송, e-풀필먼트, 이사, 국제특송 등 서비스 과정에서 고객 개인정보를 처리하는 협력사와 개인정보 처리 위탁 계약을 체결하고, 개인정보 취급자를 대상으로 한 보호 교육을 실시한다고 보고서를 통해 밝혔다.
해외 조직에 대한 통제도 확대 중이다. 회사는 2024년 기준으로 해외 조직을 대상으로 보안 서비스를 진단하고 취약점을 개선했다고 명시했다. 글로벌 포워딩·국제특송·해외법인 IT 시스템이 국내 본사와 연동돼 있는 만큼 국외에서 발생하는 보안 리스크를 국내 체계를 통해 관리하려는 시도다.
자사 앱 통합 작업을 통해 데이터 관리 체계도 통일했다. CJ대한통운은 CJ대한통운 택배 앱, 배송기사용 HELLO 앱 등 20여개 모바일 앱을 통합 관리하는 프로젝트를 추진했다.
< 저작권자 ⓒ 자본시장 미디어 'thebell', 무단 전재, 재배포 및 AI학습 이용 금지 >