서스틴베스트 “정보보호 리스크, 기업 신뢰 흔드는 중대 사안”
국내 ESG(환경·사회·지배구조) 평가기관 서스틴베스트는 23일 컨트로버시(Controversy) 보고서에서 두 사건 모두 심각성을 5‘상(上)’으로 분류했다고 밝혔다. 서스틴베스트는 논쟁적인 ESG 경영 현안에 대해 5단계로 구분해 관리하고 있으며 상은 가장 높은 단계에 해당한다. 이에 따라 사회(S) 부문에서 최대 10점 감점이 적용될 수 있으며, 종합 등급 하락으로 이어질 가능성이 크다고 설명했다. 최종 평가 결과는 오는 11월 하반기에 발표된다.
KT는 지난 18일 기자회견을 열고 이번 해킹으로 고객 개인정보가 노출돼 누적 피해 금액이 2억4000만원에 달했으며 피해 고객 규모는 362명이라고 설명했다. 롯데카드의 경우 유출된 데이터 용량이 200GB로 올해 4월 발생한 SK텔레콤 사고(10GB)의 20배에 달한다.
서스틴베스트는 “KT는 IT 부문 인력은 늘었지만 정보보호 전담 인력은 전년 대비 13.8% 줄었다”며 “보안 인력 축소가 신속한 대응을 어렵게 만들었고, SK텔레콤 정보 유출 사고 이후에도 보안 강화에 대한 경각심이 부족했다”고 지적했다.
롯데카드는 해킹 이전 정보보호 인증(ISMS-P)을 획득했음에도 대규모 피해가 발생했다. 회사 측은 향후 5년간 1100억원을 투입해 IT 예산의 15%를 정보보호에 배정하겠다고 밝혔다. 서스틴베스트는 “투자 계획이 선언에 그치지 않고 정기 점검, 모의 훈련, 즉각 대응 체계로 이어져야 한다”고 강조했다.
류영재 서스틴베스트 대표는 “금융·통신 분야의 정보보호 사고는 기업 존립을 위협할 수 있는 치명적 리스크”라며 “여전히 기업들은 보안을 비용으로만 인식한다. 단기주의에서 벗어나 장기적 주주 가치와 이해관계자 보호를 동시에 추구하는 경영이 필요하다”고 말했다.
서스틴베스트는 이번 사건을 계기로 금융당국과 협력해 ESG 평가 지침 개정을 추진하고, 투자자에게 보다 신뢰성 있는 정보를 제공한다는 계획이다.
이승균 한경ESG 기자 csr@hankyung.com
© 매거진한경, 무단전재 및 재배포 금지