이 기사는 2025년 12월 09일 08:08 thebell 에 표출된 기사입니다.

쿠팡Inc와 아마존 모두 이사회 역할에 보안 리스크 식별과 대응책 감독이 들어간다. 이사회가 경영진의 보안 리스크 관리 활동을 제대로 감독하지 못했다면 보안 사고 책임에서 자유로울 수 없다.

다만 보안 리스크를 살피는 체계는 다르다. 쿠팡Inc는 감사위원회가 재무와 보안 관련 사안을 함께 책임진다. 아마존은 보안 관련 정책과 절차를 감독하는 보안위원회를 따로 설치했다. 보안위 위원장은 미국 국가안보국(NSA)과 사이버사령부를 이끌었던 사외이사에게 맡겼다. 아마존이 쿠팡Inc보다 세심한 보안 거버넌스를 갖추고 있다.

쿠팡Inc는 보안 리스크를 식별, 평가, 관리하는 사이버 리스크 관리 프레임워크를 보유하고 있다. 지난달 한국에서 발생한 대규모 고객 개인 정보 유출처럼 특정 기준을 충족한 보안 사고는 필요한 경우 프로토콜에 따라 쿠팡Inc 감사위에 보고된다. 감사위는 해당 보안 사고가 해결될 때까지 경과를 보고받는다.


쿠팡Inc 이사회는 김범석 최고경영자(CEO)를 포함한 경영진이 사업 계획을 실행하면서 직면하는 리스크를 제대로 평가·관리하는지 감독할 책임이 있다. 감사위의 책임 분야는 외부 감사, 내부 통제 시스템, 정보 보안 식별 등이다. 주요 재무 리스크뿐만 아니라 정보 보안, 개인정보보호 관련 리스크 등을 모니터링하고 통제하기 위해 취한 조치를 평가해야 한다.

쿠팡Inc는 감사위를 사외이사 3명으로 구성했다. 보안보다 재무, 투자 역량을 갖춘 이들로 감사위를 꾸렸다. 감사위원장은 영국 반도체 설계 기업 '암(Arm)' 최고재무책임자(CFO)인 제이슨 차일드 사외이사다. 감사위 위원은 벤처 캐피탈(VC) '프라이머리 벤처 파트너스' 제너럴 파트너인 벤자민 선 사외이사와 미국 클라우드 서비스 업체 '에어테이블' CFO인 엠버린 투바시 사외이사다.

쿠팡Inc 감사위는 경영진과 정기적으로 주요 리스크를 검토한다. 사이버 전략, 사이버 보안 리스크 등을 포함한 사이버 보안 문제는 최고정보보호책임자(CISO)와 논의한다. 하지만 구체적인 감사위 활동 내용은 연례 보고서나 주주총회 소집 공고 등에 기재하지 않고 있다. 미국은 한국과 달리 이사회 활동 세부 내용 공시를 자율에 맡겨두고 있다.


아마존 이사회도 리스크 감독 전반을 책임진다. 2023년부터 보안 리스크 관련 책임은 이사회 내 보안위에 위임했다. 2022년 임시위원회(현 보안위)를 만들기 전에는 쿠팡Inc처럼 감사위가 정보 보호와 사이버 보안 문제를 감독했다.

아마존은 보안위를 사외이사 3명으로 구성했다. 위원장은 미국 사이버 보안 기술 기업 '아이언넷' 회장인 키스 알렉산더 사외이사다. 키스 알렌산더 사외이사는 미국 NSA 국장 겸 사이버사령부 사령관을 지낸 보안 전문가다. 보안위 위원은 컴퓨터 과학자인 다니엘 후덴로처 매사추세츠공과대학교(MIT) 슈워츠먼 컴퓨팅 칼리지 학장과 컴퓨터 엔지니어 출신 전문 경영인 존 루빈스타인 전 브리지워터 어소시에이츠 공동 CEO다.

아마존은 이사회에 촘촘한 감시망이 작동하도록 했다. 보안위는 보안 인프라, 정보 보호·보안 규정 관련 정책과 절차를 감독한다. 보안위는 최고보안책임자(CSO)를 포함한 경영진으로부터 보안 관련 리스크를 보고받고, 일 년에 한 번 이상 이사회에 관련 내용을 보고한다. 보안위는 중대한 사이버 보안 사고에 대한 이사회의 책임을 감독하는 주체이기도 하다. 사이버 보안 위험과 관련 대책은 감사위와 이사회에서도 평가받는다.

아마존은 이사회와 산하 위원회 연간 활동 내용을 공개한다. 보안위는 2023년 3차례, 지난해 2차례 소집했다. 보안위가 최근 중점에 둔 분야는 △보안 조직의 지속적인 보안 인프라 투자 △사이버 보안 위험 관리·대응 △사이버 보안 관련 규제와 거버넌스 업데이트다.