[뉴스투데이=문성후 ESG중심연구소 소장] ESG는 환경, 사회, 지배구조라는 단순한 구분에서 이제는 아주 다양하게 분화되고 있다. 환경은 탄소배출 저감, 동식물 보호, 폐기물 관리, 물 부족 해결 등 조금 더 디테일하게 나누어지고 있다. 지배구조는 이사회 구조, 사외이사 선임, 부패 및 뇌물 방지, 임원 보상, 내부고발 등 기업의 투명성 확보에 방점이 찍히고 있다.

이렇게 환경과 지배구조는 일정한 지향점이 있다. NET 0라든지, RE100이라든지, 사외이사의 다양성 비율이라든지 등 그 목표를 위해 시스템을 만드는 것이 어렵지 않다. 그런데, S, 즉 사회는 워낙 범위가 넓어서 과연 E,G와 동급인가 생각이 들 정도이다.

기업이 사회적 역할을 다하기 위하여 E와 G도 포함되는 광범위한 활동을 하는 것이 전통적인 S였다. CSR과 ESG의 차이가 무엇인지 종종 다루어지고 각각의 의견들도 모두 다른 이유가 여기에 있다. 일반적으로 ESG의 S만 해도 인권 보호, 안전과 보건, 공정거래, 지역사회 기여등 범위가 무척 넓다. 심지어 E와 G와의 구분도 애매한 활동들도 있다.

ESG를 구분하는 것에 대해 재고(再考)를 요구하는 블랙록 래리 핀크 회장의 CEO 레터도 있었다. 그는 2021년 주주 서한에서 ‘ 정의, 경제적 불평등 또는 지역 사회 참여에 대한 질문은 종종 ESG 대화에서 "S"문제로 분류된다. 그러나 이러한 범주 사이에 그러한 뚜렷한 선을 그리는 것은 잘못된 것이다. 예를 들어, 기후 변화는 이미 전 세계 저소득층 커뮤니티에 불균형적인 영향을 미치고 있다. 이것이 E 또는 S 문제인가? ’라고 말했다. 

이렇듯 ESG는 여전히 각각의 활동에 대해 논란이 있어, 시간이 지나면서 세세한 분류가 조정될 것이다. 분류를 어디에 둘 것이 중요한 이유는 그 분류대로 기업에 거기에 걸맞은 자원을 투입하기 때문이다. 그래서 ESG 분류가 조정되거나 진화되는 다소의 혼란기 동안은 기업이 개별적인 평가 요소에 연연할 게 아니라 우선은 자사가 또렷이 집중할 수 있고, 당장 실천할 수 있는 활동에 힘을 기울이는 것이 바람직하다.

예를 들면 금융기관의 경우는 고객의 정보 보호이다. 고객의 정보 데이터 보호는 환경적인 문제도 아니고, 회사의 지배구조 투명성에 관한 문제는 더더욱 아니다. 고객의 데이터 정보 보호는 오직 사회적 문제로서 고객의 프라이버시를 보호하여 고객이 기업과 안전한 거래를 할 수 있는 기반이 된다. 더군다나 금융기관에겐 고객의 정보가 바로 돈이다. 고객의 자산을 보호하는 금융기관으로서는 고객의 정보 보호는 고객의 자산 보호라는 업의 본질과도 맞닿아있다.

유나이티드헬스그룹(United Health Group)은 미국의 대표적인 건강보험회사이다. 건강 제품 및 보험 서비스를 판매하고 있으며 2019년에 242.1억 달러의 매출을 기록하며 전 세계에서 가장 큰 건강보험 기업이 되었다. 모든 금융기관이 그렇듯이 유나이티드헬스그룹 역시 보험 서비스 회사로서 고객의 개인정보 보호는 최우선 핵심 경영활동이었다. 특히, 다른 금융기관과 달리 보험 서비스 회사는 고객 정보 가운데 건강과 관련된 중차대한 정보를 모두 가지고 있다.

고객의 건강 상태가 어떤지, 고객이 어떤 질병을 가지고 있는지, 고객이 복용 중인 약은 무엇인지, 고객의 가족은 어떻고 그 가족들이 가진 질병이나 유전병은 무엇인지. 심지어 고객의 여명(餘命)까지도 모두 고객 정보에 담겨있다. 건강 보험 기업의 고객 정보는 단순히 고객의 금융자산 정도의 데이터가 아니라, 고객의 개인 정보 일체가 들어있다고 해도 과언이 아니다.

그런 만큼 국가의 법도 엄격하게 규제되어 있다. 미국의 헬스케어 산업은 1966년에 제정된 ‘건강보험 수익 및 책임법’에 따라 의료 데이터에 대해 정보 보호와 보안이 아주 엄격히 규정되고 있다. 그래도 개인 건강 정보는 워낙 악용하기 쉬운 정보이기에 끊임없이 해킹 시도가 일어나고 있고, 대규모로 실제 발생하기도 하였다. 2014년 앤섬(Anthem)이라는 건강보험 기업은 서버가 손상되면서 7,900만 명의 데이터가 도난당했다. 앤섬은 이 사건으로 1,600만 달러의 합의금을 지급했다. 거액의 합의금도 문제였지만, 더 큰 문제는 건강보험 기업이 고객의 예민한 정보를 지키지 못했다는 것이었다. 

유나이티드헬스그룹은 이러한 사건들을 시금석으로 삼아, 여러 가지 시스템을 갖추었다. 협력사에 의한 고객 정보 유출을 막기 위하여 협력사와 ‘보안 건강 정보’를 공유하기 전에 ‘기업 정보 보안’ 프로그램에 따른 협력사 보안 위험 평가를 시행하여 믿을 수 있는 협력사와만 거래했다. 외부로부터 오는 메일을 ‘24X7 Security Command Center’라는 사이버 포렌식 프로그램으로 상시 모니터링하였고, 2017년 한 해만 해도 매일 오는 1,100만 통의 이메일 중 90%를 보안상의 이유로 자동 차단했다. 일련의 해킹 사건으로부터 완전히 자유로울 수는 없지만, 유나이티드헬스그룹은 그 규모에 비추어 상당히 양호하게 고객 데이터를 보호하고 있는 회사로 명성이 높다.

ESG의 구분은 아직도 진행 중이다. 그리고 그 활동과 명칭도 다양하게 재분류되거나 새롭게 불릴 수 있다. 그럴 동안 기업들은 업의 본질과 가장 밀접하게 연결된 ESG 활동부터 보강해가는 것이 필요하다. 자사의 업무 영역과 동떨어진 분야에 새로이 자원을 투입하다가 업의 가장 본질적인 영역에서 ESG가 소홀해진다면 이는 단순히 ESG 차원의 문제가 아니라 실적 자체에도 큰 문제가 생길 수 있다. 그래서 기업들은 ESG를 위한 ‘중요성(materiality)’ 분석부터 한다. ESG의 순서는 우선 잘해야 하는 종목부터 월등히 앞서두는 것이다.

◀문성후 소장의 프로필▶ ESG중심연구소 소장, 경영학박사, 미국변호사(뉴욕주), 산업정책연구원 연구교수. '부를 부르는 평판(한국경제신문 간)' 등 저서 다수.