【ESG 동향】 KT·롯데카드 해킹 사고로 ESG 평가 큰 폭으로 감점

ESG 평가기관 서스틴베스트가 KT와 롯데카드에서 연이어 발생한 해킹 피해와 관련해,  “정보보호 리스크의 심각성이 크다”며 해당 기업들에 대한 ESG 평가 감점이 불가피하다는 입장을 밝혔다.

서스틴베스트는 컨트로버시 보고서를 통해 두 회사 사건에 모두 심각성 ‘상’으로 평가했다.

KT는 18일 기자회견을 통해 고객 개인정보 노출로 인한 소액 피해 금액은 누적 2억4000만원이며 피해 고객 규모는 362명이라고 발표했다. 롯데카드는 해킹으로 유출된 정보가 200GB에 달하며, 이는 올해 4월 발생한 SK텔레콤 사고(10GB)의 20배 규모에 이른다. 서스틴베스트는 해킹 사고의 심각성, 피해 규모 등을 고려했을 때 사회(S) 부문에서 최대 10점 감점으로 이어질 수 있으며, 사회 등급과 종합 등급이 하락할 수 있다고 전망했다. 최종 평가 결과는 11월 하반기에 결정될 예정이다.

서스틴베스트는 매년 상·하반기 기업의 ESG 등급을 발표하며 사회적 논란이 된 사건은 ‘컨트로버시(Controversy)’ 평가를 통해 반영한다. 사건은 심각도(Level 1~5)로 구분되며, Level 5(심각성 ‘상’)으로 분류되면 기업 전체 등급에 큰 영향을 미친다. 올해 4월 SK텔레콤 정보유출 사건 역시 심각성 ‘상’으로 평가돼 10점 감점이 적용된 바 있다.

KT는 정보기술부문 인력은 증가했음에도, 정보보호부문 전담인력은 전년 대비 13.8% 감소했다. 보고서는 “KT의 정보보호 인력 감소는 보안 사고에 대한 신속한 대응을 어렵게 하며, 이로 인해 보안 취약점이 드러날 위험이 있다. 더욱이 4월 SK텔레콤 이용자 정보 유출 사고가 있었음에도 KT는 정보보안 강화에 대한 경각심을 가지지 못했다”고 지적했다.

한편 롯데카드는 해킹 발생 이전 정보보호 인증(ISMS-P)을 이미 획득했음에도 대규모 피해가 발생했다. 롯데카드는 향후 5년간 1100억원을 투자해 IT 예산의 15%를 정보보호에 투입하겠다고 발표했다. 서스틴베스트는 “대책이 선언에 그치지 않고, 정기 점검·모의훈련·즉각 대응 체계로 이어져야 한다”고 강조했다.

서스틴베스트 류영재 대표는 “금융·통신 분야의 정보보안 사고는 기업 존립을 위협할 치명적 리스크”라며, “기업은 여전히 보안을 비용으로만 인식한다. 단기주의에서 벗어나 장기적 주주 가치와 이해관계자 보호를 동시에 추구하는 경영이 필요하다”고 말했다.

서스틴베스트는 향후 금융감독기관과 협력해 ESG 평가 가이던스 개정 등 제도적 개선을 추진하며, 투자자에게 보다 신뢰성 있는 정보를 제공하겠다고 밝혔다.