현재 식품 방어 프로그램은 과연 식품 품질 4.0 시대에 얼만큼 준비가 되어 있을까요? 글로벌 어슈어런스 기업인 LRQA가 최근 개최된 한 세미나에서 설문조사를 실시하였습니다.
LRQA 세미나에 참석한 기업 가운데 현재 식품 안전에 디지털 프로그램을 사용(최소 1개 프로그램)하고 있는 기업이 80%가 넘는다고 전하며, 이로 인한 사이버 보안이 앞으로 심각한 문제로 거듭날 수 있다고 LRQA 전문가 팀이 경고하였습니다.
최근 정보를 수집, 관리 및 공유 방식이 빠르게 변하고 있습니다. 하지만, 정보를 적극적으로 사용하는 부서와 사람이 많아질수록 사이버 보안은 더욱 취약해질 수밖에 없습니다”고 LRQA에서 공급망 어슈어런스를 담당하는 글로벌 기술 이사 킴벌리 코핀(Kimberly Coffin)은 밝혔습니다.
LRQA 자회사인 Nettitude의 사이버 보안 전문가도 이에 동의하며 Nettitude 거버넌스 리스크 및 컴플라이언스 책임자인 스튜어트 라이트(Stuart Wright)는 “식품 기업들이 사용하는 기술의 구성이나 보안 상태 또는 업데이트 방식에는 운영상 보안을 관장하는 컨트롤 장치나 절차가 거의 전무한 실정”이라 말하며, “취약한 보안을 고려했을 때, 각 기업에서 식품 안전을 담당하는 팀은 보안 차원에서 과연 지금 선택한 협력사가 신뢰할 수 있고 지속 가능한 기업인지, 혹여나 우리 사이버 환경을 위협하는 숙주가 될 가능성은 없는지 면밀히 검토해야 합니다”고 경고하였습니다.
LRQA 설문에 응답한 기업 중 60%는 사이버 리스크를 관리할 때 IT나 보안팀을 활용한다고 응답하였지만, 킴벌리 코핀 이사는 이 마저도 식품 안전 측면에서는 사각지대가 발생할 수 있다고 지적하였습니다.
“식품 안전 환경을 구성할 때에는 절대 다른 누군가를 믿고 맡겨서는 안 됩니다. 이는 아주 당연한 말이겠지만, IT 부서가 가장 중요시 하는 문제는 보안이 아닙니다. IT 부서의 주안점은 모든 시스템이 문제 없이 작동하도록 하는 것이지, IP나 각종 제품 라벨에 표시되는 정보, 레시피 정보, 식품 안전 실사 등에 사용되는 데이터 등의 편취를 예방하고 보안을 유지하는 것이 결코 아닙니다.
식품 안전을 보장하려면 사이버 리스크가 제품이나 각종 프로세스, 식품 안전에 미치는 영향을 정확히 이해하고 관리해야 하는데, 이는 궁극적으로 식품 안전 전문가가 책임을 져야 하는 부분입니다.”
스튜어트 라이트(Stuart Wright)에 따르면 LRQA 세미나에 참가한 기업의 3분의 2는 현재 사용 중인 식품 보안 프로그램의 취약성을 검증하지 않고 그대로 사용 중이라는 점을 강조하며, 이는 아주 큰 문제라고 지적하며:
“데이터를 관리하고 보호하는 데 필요한 요건을 제대로 정의하고 테스트하지 않을 경우, 식품 보안을 위해 도입한 컨트롤 조치는 그 효과를 발휘할 수 없습니다.”
이어 덧붙혀 말하길: “과거에는 보안 리스크에 대한 대응 계획을 IT 인프라 복구 위주로 구축하는 편이었지만, 최근에는 사이버 리스크에 대응하는 요소가 더욱 적극적으로 반영되고 있어 고무적입니다. 단, 이러한 사이버 리스크 대응 계획을 정확히 수행하는 기관은 거의 없는 실정이기 때문에 아직은 개선의 여지가 많이 남아 있습니다”고 전했습니다."
“이런 문제를 해결할 수 있는 유일한 방법은 테스팅을 통한 검증입니다. 시나리오를 짜고 대응 절차를 마련해 조직 전체가 어떻게 반응하는지, 실제 상황이나 다름 없는 훈련을 통해 임직원들이 어떻게 대응하는지, 부족한 점은 무엇인지 두루 살펴보고 그 결과에 따라 계획을 조정해야 합니다”라고 킴벌리 코핀 이사는 전했습니다.
“사이버 리스크에 예외는 없습니다. 물론, 식품 산업도 마찬가지입니다. 식품 관련 기술과 데이터를 보호하지 못하면, 이윽고 제품에 문제가 생기고 그 피해는 곧 식품 브랜드, 궁극적으로는 소비자에까지 고스란히 전달됩니다.”
데이터와 기술이 우리 사회와 산업 환경에 큰 변화를 가져다 주면서 식품 안전 전문가 또한 한층 강화된 책임 의식과 전문성을 바탕으로 관련 리스크에 대응해야 할 때입니다. GFSI (Global Food Safety Initiative) 를 통해 전통적인 위험 뿐만아니라 모든 위험을 해결하는데 기초적인 프레임 워크가 존재합니다.
이제 사이버가 마땅이 주목을 받아야할 때입니다.