서스틴베스트 "KT·롯데카드 해킹 사고로 ESG 평가 하락 불가피"

최근 KT와 롯데카드에서 연이어 발생한 해킹 피해 사고로 해당 기업들이 ESG(환경, 사회, 지배구조) 평가에서 큰 폭의 감점을 받게 될 전망이다.

국내 대표 ESG 평가기관인 서스틴베스트는 이들 사고의 '정보보호' 측면 심각성을 중대하게 판단해 감점이 불가피하다고 23일 밝혔다.

서스틴베스트는 이날 컨트로버시(Controversy) 보고서를 통해 KT와 롯데카드 사건 모두에 심각성 '상'(Level 5)을 부여했다.

'컨트로버시' 평가는 기업의 사회적 논란이 되는 사건을 반영하며 심각도(Level 1~5)에 따라 기업 전체 등급에 미치는 영향이 달라진다. 특히 Level 5로 분류될 경우 기업 등급에 막대한 영향을 미친다. 올해 4월 발생했던 SK텔레콤 정보 유출 사건 역시 심각성 '상'으로 평가되어 10점 감점이 적용된 바 있다.

KT는 지난 18일 기자회견을 통해 고객 개인정보 노출로 인한 소액 피해 금액이 누적 2억4000만원에 달하며 피해 고객은 총 362명이라고 발표했다. 서스틴베스트 보고서는 KT가 정보기술부문 인력을 늘렸음에도 불구하고 정보보호부문 전담 인력이 전년 대비 13.8% 감소한 점을 지적했다.

보고서는 "KT의 정보보호 인력 감소는 보안 사고에 대한 신속한 대응을 어렵게 하고 이로 인해 보안 취약점이 드러날 위험이 있다"며 "4월 SK텔레콤 이용자 정보 유출 사고에도 불구하고 정보보안 강화에 대한 경각심을 가지지 못했다"고 비판했다.

롯데카드의 경우 해킹으로 유출된 정보가 무려 200GB에 달하며 이는 올해 4월 발생한 SK텔레콤 사고(10GB)의 20배에 이르는 규모다. 롯데카드는 해킹 발생 이전에 이미 정보보호 인증(ISMS-P)을 획득했음에도 이러한 대규모 피해가 발생했다.

롯데카드는 향후 5년간 1100억원을 투자해 IT 예산의 15%를 정보보호에 투입하겠다고 밝혔다. 이에 대해 서스틴베스트는 "대책이 선언에 그치지 않고 정기 점검·모의훈련·즉각 대응 체계로 이어져야 한다"고 강조했다.

류영재 서스틴베스트 대표는 "금융·통신 분야의 정보보안 사고는 기업 존립을 위협할 치명적 리스크"라고 경고하며 "기업은 여전히 보안을 비용으로만 인식하는 경향이 있어 단기주의에서 벗어나 장기적인 주주 가치와 이해관계자 보호를 동시에 추구하는 경영이 필요하다"고 강조했다.

서스틴베스트는 앞으로 금융감독기관과 협력해 ESG 평가 가이던스 개정 등 제도적 개선을 추진하고 투자자들에게 보다 신뢰성 있는 정보를 제공하겠다고 덧붙였다.