세계 공급망의 규칙이 조용히, 그러나 근본적으로 바뀌고 있다.
최근 유럽연합(EU)은 2028년부터 탄소국경조정제도(CBAM)를 철강·알루미늄 등 기초 소재를 넘어 하류공급망(Downstream) 완제품까지 확대 적용하겠다는 정책 방향을 공식화했다. 이는 탄소 규제가 더 이상 일부 소재 기업의 부담이 아니라, 완제품을 수출하는 모든 제조기업의 구조적 리스크가 되었음을 의미한다. 자동차 부품, 기계류, 전기·전자 제품 등 산업단지의 핵심 수출 품목들이 규제의 중심에 서게 된 것이다.
이 변화는 단순한 환경 규제가 아니다. EU는 “제품이 만들어지는 전 과정에서 발생한 탄소와 ESG 리스크를 설명할 수 있는 기업만이 시장에 남을 수 있다”는 새로운 기준을 제시하고 있다. EU는 2024년 기업지속가능성실사지침(CSDDD)을 확정하고, 탄소국경조정제도(CBAM)를 예고에서 시행 국면으로 예상보다 더 빠르게 옮기고 있는 것이다. UN 글로벌콤팩트와 OECD 다국적기업 가이드라인 역시 “협력사 ESG 관리”를 더 이상 선택이 아니라 기업의 핵심 책임으로 간주한다. 이런 규제와 원칙의 최전선에서 산업단지의 중소기업을 직접 겨누는 도구가 바로 에코바디스(EcoVadis) 평가다.
점수와 메달 뒤에 숨은 ‘심사관의 질문’
앞선 1·2회차에서 에코바디스를 ‘신뢰의 여권’으로 설명했다면, 이번에는 그 여권을 발급하는 심사관의 시선을 들여다볼 차례다. 에코바디스의 점수와 메달 뒤에는 사실상 일곱 가지의 매우 구체적인 질문이 숨어 있다. 이 질문에 어떻게 답하느냐에 따라, CBAM·CSDDD 시대의 생존 여부가 갈린다.
에코바디스는 기업의 지속가능경영 수준을 정책(Policy)–실행(Action)–결과(Result)라는 PAR 모델로 평가한다. 이 세 축은 다시 일곱 개의 세부 지표로 나뉜다. 숫자만 놓고 보면 정책 25%, 실행 40%, 결과 35%가 배점이지만, 실무자의 눈으로 보면 “일곱 가지 질문에 어떻게 답하느냐”의 문제에 가깝다.
첫째, 우리 회사의 환경·노동·윤리·조달 정책은 문서로 정리되어 있는가(POLI).
둘째, UN 글로벌콤팩트(UNGC), ISO 26000, SBTi 같은 외부 이니셔티브에 최소 하나 이상 참여하고 있는가(ENDO).
셋째, FEMS(에너지관리시스템), 안전·인권 교육, 윤리 제보 채널, 협력사 교육 같은 실행조치(MESU)가 실제로 공장 현장에서 돌아가고 있는가.
넷째, ISO 14001·45001·37001 같은 인증과 제3자 감사(CERT)로 시스템을 입증하고 있는가.
다섯째, 이러한 조치가 일부 사업장 파일럿이 아니라 ‘전 공장·전 직원’에게 적용되고 있는가(COVE).
여섯째, 온실가스·에너지·물·폐기물·안전사고 등 핵심 KPI를 최소 2년 이상 연속으로 정량 측정하고 있는가(REPO).
일곱째, NGO·언론·정부 자료에서 우리 회사 이름이 부정적 사건과 함께 등장하지는 않는가(Watch).
이상의 질문에 “예”가 많을수록 점수는 자연스럽게 안정되고, “아니오”가 많을수록 CSDDD·CBAM 시대의 위험은 기하급수적으로 커진다.
에코바디스 알고리즘, 일곱 가지 질문의 기술적 의미
에코바디스는 앞에서 언급한 것처럼 정책(Policy)–실행(Action)–결과(Result)로 구성된 PAR 모델 기반의 7개 지표로 기업을 평가한다.
1. 정책(Policy, 25%) – POLI·ENDO
POLI(내부 정책, 20%)는 환경·노동·인권·윤리·조달에 관한 공식 정책이 문서화 되어 있는지, 범위와 깊이가 충분한지 평가한다. ENDO(외부 이니셔티브, 5%)는 UNGC, ISO 26000, SBTi, CDP, 책임광물 이니셔티브 등 글로벌 규범과의 정렬 정도를 본다. 기술 관점에서 보면, 두 지표는 ERP·문서관리시스템(DMS) 상에서 정책·규정·서약서를 구조화된 메타데이터로 관리하라는 요구에 가깝다. 단순한 PDF 업로드가 아니라, “어떤 공장·어떤 협력사·어떤 리스크에 적용되는지”를 엄격하게 관리해야 한다.
2. 실행(Action, 40%) – MESU·CERT·COVE
MESU(실행조치, 26%)는 FEMS(에너지관리), 안전·인권 교육, 윤리 핫라인, 협력사 교육, 리스크 평가 절차 등 정책을 실행하는 시스템과 프로그램을 본다. CERT(인증·감사, 14%)는 ISO 14001·45001·37001·50001, SA8000, FSC 등 제3자 인증과 공급망 감사 결과를 평가한다.
COVE(커버리지 수준)는 위 조치가 일부 파일럿이 아니라 전 사업장·전 직원·주요 협력사에 얼마나 넓게 적용되는지 본다. 또한 이 조치들이 일부 사업장에만 적용되는지, 전사적으로 확산되어 있는지를 본다. 여기서 많은 기업이 ‘파일럿의 함정’에 빠진다. 한 공장에만 FEMS를 도입하고 “우리는 에너지 관리 시스템이 있다”고 말하지만, COVE 기준으로 보면 커버리지가 낮아 MESU 점수의 상당 부분을 잃게 된다. 여기서 MES·ERP·FEMS·LMS·협력사 포털은 단순 IT가 아니라 “에코바디스 실행 점수를 올리는 핵심 인프라”가 된다. 예를 들어, OCI가 MES·ERP 통합과 공장별 에너지·탄소 실시간 모니터링을 통해 2024년 골드(상위 5%)를 달성한 사례는, MESU·CERT·COVE가 잘 설계되면 점수가 뛰어오른다는 것을 보여준다.
3. 결과(Result, 35%) – REPO·Watch
REPO(정량 KPI, 14%)는 온실가스(Scope1·2·3 일부), 에너지, 물, 폐기물, 산업재해, 공급망 KPI를 2년 이내 데이터로 보고하게 한다. Watch(외부 사건·논란, 21%)는 NGO 보고서, 언론기사, 노동조합 제보, 정부 제재 목록을 AI로 스크리닝해 인권·환경·부패 사건 여부를 확인한다. REPO는 ESG 데이터 레이크·데이터 웨어하우스 설계를, Watch는 외부 오픈소스 인텔리전스(OSINT)와 텍스트마이닝 모듈을 요구한다. 한마디로, “회사 내부 데이터뿐 아니라 밖에서 나를 어떻게 보고 있는지까지 데이터를 통해 관리하라”는 요구다.
CSDDD·CBAM·UNGC·OECD를 한 번에 통과하는 데이터 흐름
CSDDD는 인권·환경 실사 프로세스를, CBAM은 제품별 탄소배출량을, UNGC·OECD는 인권·환경·부패 리스크 관리를 요구한다. 각 규제·원칙은 언어는 다르지만, 공통적으로 “공급망 전체의 정량 데이터”를 요구한다는 점에서 에코바디스 평가와 겹친다. CSDDD는 아동노동·강제노동·산업재해·환경오염 등 인권·환경 피해에 대해 공급망 전체에서 실사·예방·시정조치를 요구하고, 경우에 따라 원청에 민사책임까지 부과한다. 에코바디스 노동·인권·윤리·지속가능 조달 영역의 정책·실행·성과 데이터는 CSDDD 실사보고에 직접 활용 가능한 구조로 설계되어 있다. 결국, 산업단지 기업이 에코바디스 시스템을 잘 구축하면, CBAM·CSDDD·UNGC·OECD라는 “규제 4종 세트”를 동시에 대응하는 효과를 얻는다. 규제는 여럿이지만, 데이터 흐름은 하나여야 한다는 것을 의미한다.
CBAM 확장에 대비한 제품 탄소발자국(PCF)과 에코바디스 환경 영역
2028년부터 CBAM 대상이 철강·알루미늄 등 기초 소재에서 자동차 부품, 기계, 가전·전자 완제품까지 확대될 경우, 제품 한 개당 탄소배출량(제품 탄소발자국, PCF)을 계산·보고해야 한다. 이는 공정별 에너지·원재료 데이터와 LCA(전과정평가) 모델을 요구하며, 그대로 에코바디스 환경(온실가스·에너지·자원·오염) 영역 점수와 연동된다. 즉 CBAM이 완제품까지 확대되면, 자동차 부품·기계·전자제품 등은 제품 단위 탄소발자국(Product Carbon Footprint, PCF)을 제출해야 한다. PCF는 다음 네 단계로 계산된다.
· 활동 데이터 수집: 공정별 에너지 사용량, 연료 소비, 원재료 투입, 공정 스크랩·폐기물
· 배출계수 적용: 전력·연료·원자재·운송 등에 대한 국가·공급망별 배출계수 적용
· 시스템 경계 설정: Cradle-to-Gate(원재료 채굴~출하) 또는 Cradle-to-Grave(폐기까지) 범위 정의
· 단위 제품당 배출량 산정: 공장·공정 수준 배출량을 제품으로 배분
이 PCF 계산은 그대로 에코바디스 환경 영역의 온실가스 인벤토리·에너지·자원 관리 지표와 연결된다. 즉, 한 번 제대로 된 LCA/PCF 시스템을 구축하면 CBAM·에코바디스·K-ESG 공시를 동시에 만족시키는 데이터 인프라를 갖추게 되는 셈이다.
산업단지 스마트팩토리를 위한 ESG 데이터 아키텍처
이제 질문을 바꿔보자. “PAR×7 지표를 만족하려면 공장의 데이터 시스템은 어떻게 설계해야 하는가.”
1. 레벨별 데이터 수집 구조
· 레벨 0–1: IoT 센서가 설비별 전력·연료·온도·압력·속도 데이터를 수집
· 레벨 2: MES가 공정별 생산량·불량·가동시간·공정코드를 기록
· 레벨 3: ERP가 원재료 투입·구매·인건비·재무·협력사 계약정보를 관리
· 레벨 4: ESG 데이터 허브가 탄소배출량(활동데이터×배출계수), 에너지·물·폐기물·산재·공급망 KPI를 통합
· 레벨 5: 에코바디스 평가 응답·CBAM 신고·CSDDD 실사보고·GRI/ISSB 공시용 리포트를 생성
이 구조에서 가장 중요한 것은 “한 번 수집한 데이터를 여러 목적에 재사용할 수 있도록 표준화하는 것”이다. 예컨대, 전력 사용량 데이터는 CBAM, 에코바디스, 사내 에너지 효율 프로젝트, K-ESG 공시 등에 동시에 활용된다.
2. POLI·ENDO를 위한 문서·정책 관리
정책·규정 문서는 단순 폴더 보관이 아니라, 영역(환경·노동·윤리·조달), 적용 범위(자사·협력사·지역), 유효기간(개정일·만료일), 관련 KPI/시스템(MES·ERP·FEMS 등) 메타데이터를 붙여 DMS·ERP에 저장하는 방식이 바람직하다. 이를 통해 에코바디스 평가 시 어떤 문서가 어떤 질문에 해당하는지 자동으로 매핑할 수 있다.
3. MESU·CERT·COVE를 위한 시스템 통합
실행조치(MESU)와 커버리지(COVE)를 설계할 때 핵심은 “파일럿에서 전사적 확산으로 가는 로드맵”이다.
· 1단계: 하나의 공장에서 FEMS·안전교육·윤리 핫라인·협력사 교육 시스템을 설계
· 2단계: 산단 내 다른 공장으로 템플릿 복제·확산
· 3단계: ERP 기준으로 전사 프로세스 표준화, 인증(CERT) 획득 범위 확대
이때 ISO 인증(14001·45001·37001·50001 등)은 MESU 실행 시스템이 국제표준 수준임을 증명해주므로, 에코바디스 CERT 점수를 높이는 지름길이다.
4. REPO·Watch를 위한 데이터 거버넌스
REPO는 최소 2년 이상 연속된 KPI 데이터를 요구한다. 따라서 측정 주기(일·월·분기), 책임 부서, 검증 절차(내부 감사·외부 검증), 저장 위치·백업 정책을 포함한 ESG 데이터 거버넌스 체계를 수립해야 한다. 구체적으로 살펴보면 데이터 소스로는 MES(생산·불량), FEMS(에너지), ERP(원부자재·운송), HR(산재·교육), EHS 시스템(폐기물·폐수) 등 다양하고, 데이터 구조로는 시계열·사업장·제품·공정 단위 Drill-down 등이 있고, 품질관리 보고서는 수집 주기, 검증 절차, 백업·변경 이력 관리 등의 세부적인 관리가 요구된다. Watch 대응을 위해서는 외부 데이터(언론·NGO·정부 제재 목록)를 정기적으로 수집·분석하는 모듈이 필요하다. 기술적으로는 언론 기사, 국제기구·정부 제재 리스트에서 뉴스·SNS·공공데이터 API를 활용해 NGO 보고서, 기업 이름과 인권·환경·부패 키워드를 결합해서 “회사명+키워드(노동, 환경, 부패 등)”를 모니터링하는 텍스트마이닝·감성분석 모델이 활용될 수 있다. 이 모듈은 단지 에코바디스 대응을 넘어, CSDDD 위반 리스크와 평판·법적 리스크를 조기에 감지하는 역할을 한다.
산업단지형 ESG 데이터 허브: 개별 기업을 넘어 집단 신뢰로
수도권 한 산업단지가 50개 입주기업이 참여하는 ESG 공동데이터 허브를 구축해 전력·용수·폐기물 데이터를 공유하고, 에너지 효율 9.5% 개선과 에코바디스 평균점수 상승을 달성한 사례는 이미 보고된 바 있다. 따라서 CBAM이 완제품까지 확장되는 환경에서, 이런 “산단 단위 데이터 허브”는 선택이 아니라 생존 인프라가 될 수 있다.
허브는 대략 다음과 같은 구조를 갖는다.
· 공통 레이어: 배출계수 라이브러리, 공통 지표 정의, CBAM·에코바디스·K-ESG 템플릿, 데이터 표준
· 기업 게이트웨이: 각 기업의 MES·ERP·FEMS·HR 시스템을 허브와 연동하는 표준 API
· 분석·리포팅 레이어: 단지 전체 탄소·에너지·물 발자국, 기업별·제품별 KPI 비교, CBAM 관세 시뮬레이션, 에코바디스 점수 개선 시나리오
이 구조에서는 개별 중소기업이 CBAM·CSDDD를 해석하고 시스템을 전부 구축할 필요가 없다. 장기적인 관점에서 공공기관·산단공·지자체가 공통 인프라를 제공하고, 개별 기업은 공장 내부 데이터 품질 개선에 집중하는 역할 분담이 필요하다.
CSDDD·CBAM·UNGC와 에코바디스가 만나는 지점
CSDDD는 앞에서 언급한 바와 같이 인권·환경 실사를 공급망 전체에 요구하고, 위반 시 손해배상 책임까지 연결할 수 있도록 설계되어 있다. 이때 노동·인권·윤리·지속가능 조달 영역에서의 에코바디스 점수와 개선 이력은, 기업이 최소한의 실사 의무를 어떻게 수행하고 있는지 보여주는 정량적 증거가 된다.
CBAM은 철강·시멘트·알루미늄·비료·전기·수소 등 탄소 다배출 품목을 중심으로 수입품에 탄소 가격을 부과하기로 되어 있다. 하지만, 유럽연합(EU)은 2028년부터 탄소국경조정제도(CBAM)를 철강·알루미늄 등 기초 소재를 넘어 하류공급망(Downstream) 완제품까지 확대 적용하겠다는 정책 방향을 공식화함으로써 탄소 규제가 더 이상 일부 소재 기업의 부담이 아니라, 완제품을 수출하는 모든 제조기업의 구조적 리스크가 되었음을 시사한다. 이는 곧 에코바디스 환경 영역의 온실가스 인벤토리·에너지 믹스·감축 로드맵과 정합성을 요구한다. 쉽게 말하면, 에코바디스 환경 점수를 높이기 위해 구축한 데이터 시스템이 곧 CBAM 대응의 기초가 되는 구조다.
UN 글로벌콤팩트 10대 원칙과 OECD 다국적기업 가이드라인은 인권·환경·부패 리스크를 “관리해야 할 책임”으로 규정한다. 에코바디스의 POLI·ENDO·CERT 지표는 바로 이 국제 원칙과 실제 경영시스템이 얼마나 정렬되어 있는지를 수치로 보여주는 창이다.
“정책은 8년, 데이터는 2년”이 주는 의미
에코바디스 평가에서 정책·규정은 최대 8년까지 증빙으로 인정되지만, 온실가스·에너지·수자원·안전사고 등 KPI 데이터의 유효기간은 2년에 불과하다. 이는 “정책은 장기적이고, 데이터는 상시적이어야 한다”는 메시지이자, ESG가 보고서가 아니라 운영시스템이라는 사실을 정량적으로 강제하는 장치다.
더 중요한 것은 ‘속도’다. 에코바디스 인덱스에 따르면 첫 평가 기업의 평균 점수는 40점대 중반이지만, 여러 차례 재평가를 받은 기업은 8~10점 이상 높은 점수를 기록하고, 다섯 번째 평가에 이르면 평균이 60점대 후반에 도달한다. 전 세계 평균 점수도 매년 대략 1~2점씩 꾸준히 상승하고 있어, 절대점수가 소폭 올랐더라도 상대 순위가 오르지 않으면 메달 등급이 유지되거나 되려 내려갈 수 있다. 산업단지의 한 공장이 “작년보다 점수는 올랐는데 메달은 브론즈로 남았다”고 느끼는 이유가 여기에 있다.
산업단지 중소기업이 지금 시작해야할 것은 무엇인가
그렇다면 인력과 예산이 제한된 산업단지 중소기업은 무엇부터 시작해야 할까. 첫째, 지난 2년치 데이터부터 정리해보기를 권한다. 전력·연료 사용량, 폐기물·폐수 배출량, 산업재해 기록, 협력사 목록과 계약조건만 체계적으로 정리해도 REPO와 Watch 대응의 절반은 준비된 셈이다. 둘째, 이미 보유한 ISO 인증·각종 규정을 에코바디스 POLI·CERT 관점에서 재정렬해보면 추가 비용 없이도 정책·인증 점수 기반을 상당 부분 확보할 수 있다. 셋째, 한국무역협회·KOTRA·중소벤처기업부·산업단지공단이 제공하는 에코바디스·K-ESG 지원 프로그램은 “정보만 알면 활용 가능한 제도적 인프라”다.
죄근 EU의 정책방향은 단순히 수입 물량을 규제하는 것이 아니라, 제품 하나가 만들어지기까지의 전 과정에서 발생한 탄소와 ESG 리스크를 투명하게 설명하라고 요구하고 있다. 이는 곧 기업에게 “당신의 공급망은 관리되고 있는가?”라는 질문을 던지는 것이다.
에코바디스는 이 질문에 답하기 위한 가장 현실적인 도구다. 환경, 노동·인권, 윤리, 지속가능 조달이라는 네 가지 축을 통해 기업의 정책–실행–성과를 데이터로 검증하는 이 플랫폼은, 이미 유럽 주요 바이어들에게 사실상의 공통 언어로 작동하고 있다. CBAM이 ‘규제의 칼날’이라면, 에코바디스는 그 칼날에 대응할 수 있는 방패이자 지도다.
산업단지 기업이 지금 느껴야 할 위기감
많은 중소·중견 제조기업은 여전히 이렇게 말한다. “우리까지 그렇게 해야 하나”, “아직 바이어가 직접 요구하지 않는다.” 그러나 CBAM이 완제품까지 확대되는 순간, 그 요구는 예고 없이 계약 조건으로 등장한다. 준비되지 않은 기업은 설명할 시간이 없다. 선택지는 단순하다. 설명하거나, 공급망에서 제외되거나다.
지금 산업단지 기업들이 던져야 할 질문은 거창하지 않다. 지난 2년간의 전력·연료 사용량을 설명할 수 있는가, 산업재해와 폐기물 데이터를 바로 꺼내 보여줄 수 있는가, 협력사 목록과 기본적인 ESG 기준이 정리돼 있는가. 이 질문에 막히는 순간, 에코바디스 점수 이전에 공급망 신뢰 자체가 흔들린다.
에코바디스는 대기업만을 위한 평가가 아니다. 실제로 많은 산업단지 기업들은 엑셀로 시작한 데이터 관리가 에너지 절감과 품질 개선으로 이어지는 경험을 하고 있다. 작은 기록이 비용을 줄이고, 그 기록이 점수가 되고, 그 점수가 다시 거래 기회를 만든다.
이번 3회차에서 산업단지 기업들에게 던지고 싶은 질문은 명확하다. “우리 회사는 에코바디스의 일곱 가지 질문에, 문서가 아니라 데이터로 ‘예’라고 답할 준비가 되어 있는가.” CBAM이 완제품까지 확장되는 시대, 이 질문에 대한 답이 곧 유럽 시장에 남을 자격이 된다. 경각심을 늦추는 순간, 선택지는 더 이상 우리 손에 있지 않다!!
이동권, ㈜한컨설팅그룹 수석전문위원
