(조세금융신문=김필주 기자) ESG 평가기관 서스틴베스트가 최근 고객정보 해킹사고가 발생한 KT와 롯데카드 양사의 ESG 평가점수를 감점처리했다.

 

23일 서스틴베스트는 “‘정보보호’ 사안에서 심각성이 중대하기에 KT·롯데카드에 대한 ESG 평가 점수 감점이 불가피하다”며 컨트로버시 보고서를 통해 두 회사 사건에 모두 심각성 ‘상’으로 평가했다.

 

이와함께 서스틴베스트는 두 회사의 해킹 사고 심각성, 피해 규모 등을 고려했을 때 KT와 롯데카드의 S(사회) 부문 점수가 최대 10점 감점으로 이어질 수 있다고 전망했다. 또한 이에 따라 양사의 S 부문 등급과 종합 등급이 동반 하락할 수 있다고 내다봤다.

 

서스틴베스트의 KT·롯데카드에 대한 ESG 최종 평가 결과는 올해 11월 하반기에 결정될 예정이다.

 

서스틴베스트는 매년 상·하반기 기업의 ESG 등급을 발표한다. 이 과정에서 사회적 논란이 된사건은 ‘컨트로버시(Controversy)’ 평가를 통해 반영한다. 사건은 심각도(Level 1~5)로 구분하며 Level 5(심각성 ‘상’)로 분류되면 기업 전체 등급에 큰 영향을 미친다. 올해 4월 발생한 SK텔레콤 정보유출 사건 역시 심각성 ‘상’으로 평가돼 10점 감점이 적용된 바 있다.

 

서스틴베스트는 보고서를 통해 “KT는 정보기술부문 인력이 증가했음에도 정보보호부문 전담인력은 전년 대비 13.8% 감소했다”며 “KT의 정보보호 인력 감소는 보안 사고에 대한 신속한 대응을 어렵게 했고 이로 인해 보안 취약점이 드러날 위험이 있다. 아울러 지난 4월 SK텔레콤 이용자 정보 유출 사고가 있었음에도 불구하고 KT는 정보보안 강화에 대한 경각심을 갖지 못했다”고 꼬집었다.

 

이어 “롯데카드는 해킹 발생 이전 정보보호 인증(ISMS-P)을 이미 획득했음에도 대규모 피해가 발생했다”며 “롯데카드는 향후 5년간 1100억 원을 투자해 IT 예산의 15%를 정보보호에 투입하겠다고 발표했다. 회사가 발표한 대책이 선언에 그치지 않고 정기 점검·모의훈련·즉각 대응 체계로 이어져야 한다”고 지적했다.

 

류영재 서스틴베스트 대표는 “금융·통신 분야의 정보보안 사고는 기업 존립을 위협할 치명적 리스크”라며 “하지만 국내 다수 기업들은 여전히 보안을 비용으로만 인식한다. 단기주의에서 벗어나 장기적 주주 가치와 이해관계자 보호를 동시에 추구하는 경영이 필요하다”고 강조했다.

 

한편 국회 과학기술정보방송통신위원회(과방위)는 오는 24일 KT 및 롯데카드에서 발생한 대규모 해킹사고와 관련해 청문회를 열기로 결정했다.

 

과방위는 김영섭 KT 대표, 조좌진 롯데카드 대표 등 증인 6명과 이종현 SK텔레콤 통합보안센터장, 홍관희 LG유플러스 정보보안센터장 전무 등 참고인 4명을 소환할 예정이다.

 

또한 국민의힘은 23일 오전 간담회를 열고 롯데카드 해킹 사고와 관련해 김병주 MBK파트너스 회장을 국정감사 증인으로 채택하기로 결정했다.

 

 

[조세금융신문(tfmedia.co.kr), 무단전재 및 재배포 금지]