오너 2세 전면에 선 팬오션, 정보보호 전담인력 '0명'…모회사 하림과...

팬오션 벌크선. [사진=팬오션][디지털데일리 최민지기자] 하림그룹 해운 계열사인 팬오션이 정보보호 전담인력을 두지 않은 채 주요 정보보호 책임자를 비임원 겸직 체계로 운영하는 것으로 확인됐다.김홍국 하림그룹 회장 장남 김준영 상무보가 팬오션 입사 1년만에 임원으로 승진하며 오너 2세 경영 참여가 빨라지고 있는 만큼 그룹 정보보호 관리체계도 강화돼야 한다는 지적이 제기된다.22일 한국인터넷진흥원(KISA) 정보보호 공시 현황에 따르면 팬오션은 2023년 기준 정보보호 전담인력 2명을 공시했다. 당시 정보기술(IT) 부문 투자액은 79억4718만원 정보보호부문 투자액은 6억6577만원으로 정보보호 투자 비중은 8.4%를 기록했다.그러나 1년이 지난 후 팬오션 정보보호 투자는 크게 감소했다. 2024년 정보보호 투자액은 3억6855만으로 전년보다 44.6% 줄었다. 정보보호 투자 비중 역시 8.4%에서 4.6%로 낮아졌다. 주목할 부분은 정보보호 전담인력을 0명으로 공시했다는 점이다.2025년에도 전담인력 공백은 이어졌다. 팬오션은 정보보호를 전담하는 내·외부 인력을 0명으로 기재했다. 정보보호 투자액은 3억7620만원으로 전년보다 소폭 늘었지만 2023년과 비교하면 여전히 43% 이상 낮은 수준이다. 반면 2025년 IT 투자액은 76억9900만원으로 2023년과 비교해 3.1% 감소에 그쳤다.팬오션은 현재 최고정보보호책임자(CISO)·최고개인정보보호책임자(CPO)도 임원이 아니며 겸직 체계를 유지하고 있다. 정보시스템실장이 CISO와 CPO를 맡고 있다는 설명이다. 2023년에는 CISO가 임원이었지만 CPO뿐 아니라 최고정보책임자(CIO)까지 겸직하는 상황이었다.현행 제도상 최고정보보호책임자는 반드시 임원일 필요는 없다. 다만 보안업계에서는 정보보호 책임자가 실질적인 권한과 책임을 갖추려면 조직 내 위상이 중요하다고 보고 있다. CISO·CPO가 예산·인력·정책 결정 과정에서 충분한 권한을 행사할 수 있는지가 해당 기업의 보안 수준을 가늠하는 기준이 되기도 한다.팬오션 모회사인 하림도 상황은 다르지 않다. 김홍국 회장이 이끄는 하림 역시 2022~2024년 3년 연속 정보보호 전담인력을 0명으로 공시했다. CISO·CPO도 임원이 아닌 디지털센터장 또는 디지털혁신실장이 겸직하는 형태라고 밝혔다. 지난해 정보보호 공시는 아직 공개되지 않았다.해운업은 사이버보안 취약성이 운항 리스크로 번질 수 있는 산업이다. 선박 운항부터 항만·물류 데이터, 선박 위치 정보, 선내 IT·OT 시스템은 모두 해운사 주요 업무와 연결돼 있다. 자율운항 선박과 스마트십 확산으로 선박 내 장비와 육상 시스템 간 연결성이 커질수록 사이버 공격이 단순 정보 유출을 넘어 운항 차질과 공급망 혼란으로 이어질 수 있다.실제 글로벌 해운업계는 이미 대형 사이버 사고를 겪었다. 2017년 세계 최대 해운사인 덴마크의 머스크는 랜섬웨어 공격을 받아 시스템 마비를 겪었다. 당시 항만 터미널과 예약·화물 처리 등 핵심 업무에 차질을 빚으면서 운송 차질을 겪어야만 했다.한국인터넷진흥원(KISA)은 한국선급(KR)과 함께 발간한 해운사 보안 요구사항 대응 가이드를 통해 해운사 보안 체계를 단순 솔루션 도입이 아닌 조직·정책·교육·외부업체 관리·자산관리·접근통제·취약점 진단·모니터링·사고대응·백업·복구 등 전 영역에서 갖춰야 한다고 제시했다.이 기준에 비춰 팬오션 공시 내용을 살펴보면 보완 필요성이 제기된다. 정보보호 투자가 집행됐더라도 전담인력이 없는 구조에서는 실질적인 운영 역량을 담보하기 어렵다. 방화벽·백신·스팸 차단 솔루션 도입만으로 보안 체계가 완성되지 않기 때문이다. 정책 설정부터 취약점 대응, 개인정보 유출 방지, 외주 보안관리, 침해사고 대응 훈련 등을 진행하려면 관련 전문성이 요구될 수밖에 없다.팬오션은 "정보보호 관련 각종 솔루션을 도입해 운영 중에 있으며 전문업체와 유지보수·지원 계약을 체결해 정보보호 대응 중"이라며 "정보기술·정보보호 자체 인력을 보유해 안정적으로 운영·서비스를 제공하고 있다"고 설명했다. 정보보호 부문만을 전담하는 인력은 아니지만 보안·운영을 겸직하는 형태로 업무를 보고 있다는 뜻이다.다만 보안업계에서는 전담인력 부재는 보안관리 실효성을 낮출 수밖에 없다고 우려한다. 익명을 요구한 정보보호 전문가인 한 CISO는 "전담인력이 없다는 건 사실상 정보보호를 제대로 하지 않는다는 의미로 해석될 수 있다"며 "방화벽·백신을 설치하는 것과 보안 정책을 실제로 운영하는 건 다른 문제"라고 지적했다. 이어 "보안 관련 외주 관제나 시스템 운영 인력인 전담 외부 인력조차 0명으로 기재했다는 건 보안 투자에 관심이 없는 걸로 보일 수 있다"고 덧붙였다.