반복되는 통신사 해킹 사태 속에서 ESG(환경·사회·지배구조) 보고서가 대외 홍보용 문서로 전락했다는 비판이 커지고 있다. 보고서에서 ‘정보보호’와 ‘사이버 보안’을 핵심 비재무 성과로 강조해왔지만, 실제 침해사고에 대응하는 과정에서는 예방·감시 기능이 제대로 작동하지 않아서다.
18일 정보기술(IT) 업계에 따르면 SK텔레콤·KT·LG유플러스 등 국내 통신 3사는 매년 수백 쪽 분량의 ESG 보고서를 발간하며 정보보호 관리체계(ISMS) 인증, 보안 투자 확대, 공급망 관리 등을 핵심 비재무 성과로 제시해 왔다.
실제로 SK텔레콤은 ‘아무도 믿지 않는다’는 원칙의 제로 트러스트 기반 보안 체계와 인공지능(AI) 기반 실시간 관제 등을 강조했고, KT는 1000억원대 연간 정보보호 투자, 모의 침투훈련, 보이스피싱 차단 등 소비자 보호 정책을 열거하며 자랑했다. LG유플러스는 정부 정보보호 평가 최우수 등급과 자회사 보안 협의체 운영, 성과평가지표(KPI) 기반 보안 교육 등 조직 중심의 거버넌스를 내세웠다.
하지만 최근 일련의 해킹 사고에서 보고서 내용과 현실 사이의 괴리가 적나라하게 확인됐다. KT는 정부 조사에서는 펨토셀 인증서를 동일하게 사용하고 유효기간을 10년으로 설정하는 등 기초 보안에서 허점이 드러났고 비정상 IP 차단과 펨토셀 형상 정보 검증이 제대로 이뤄지지 않았다.
악성코드를 발견하고도 법정 신고 의무를 이행하지 않은 정황도 확인됐다. ESG 보고서에서 정보보호 전략위원회(ISSC) 운영과 최고정보보호책임자(CISO)·개인정보보호책임자(CPO) 체계를 기반으로 한 ‘사전 대응’과 ‘보안 거버넌스 강화’를 강조한 것과는 상반된 결과였다.
SK텔레콤은 ESG 보고서에서 △AI 기반 실시간 관제 △침해 예방 및 인증 체계 △자회사·공급망까지 확장된 통합 보안 거버넌스를 상세히 기술하며 ‘안정적 통신 서비스 제공’을 핵심 성과로 내세웠다. 하지만 지난해 4월 유심 정보 대규모 유출과 악성코드 감염 사례가 발생했다. 보고서에서 강조한 ‘연속성 기반 서비스 안정성’과 ‘선제적 위험 대응’은 실제 사고 대처 과정에서 찾아보기 어려웠다는 지적이 나오는 이유다.
LG유플러스는 침해 정황 통보 이후 일부 서버를 재설치하거나 폐기한 사실이 확인되면서 사고를 끝까지 감추려 했다는 의혹이 제기된 상황이다. 은폐 정황이 포착되자 정부는 경찰에 수사를 의뢰했고 사고 이후 대응 과정에서 투명성과 절차 준수 여부가 핵심 쟁점으로 부상했다. ESG 보고서에서 ‘고객 및 사회적 신뢰를 구축하겠다’는 내용과 반대되는 행보다.
통신 3사가 높은 점수를 받은 ESG 평가도 도마위에 오르고 있다. 한국ESG기준원(KCGS) 평가에서 SK텔레콤·KT·LG유플러스는 모두 종합 A 등급을 받았다. 이에 따라 ESG 보고서와 평가 체계가 사고 대응과 사회적 책임을 반영하지 못해 제도·평가 기준 개선이 필요하다는 목소리가 나온다.
이영애 기자 0ae@hankyung.com
18일 정보기술(IT) 업계에 따르면 SK텔레콤·KT·LG유플러스 등 국내 통신 3사는 매년 수백 쪽 분량의 ESG 보고서를 발간하며 정보보호 관리체계(ISMS) 인증, 보안 투자 확대, 공급망 관리 등을 핵심 비재무 성과로 제시해 왔다.
실제로 SK텔레콤은 ‘아무도 믿지 않는다’는 원칙의 제로 트러스트 기반 보안 체계와 인공지능(AI) 기반 실시간 관제 등을 강조했고, KT는 1000억원대 연간 정보보호 투자, 모의 침투훈련, 보이스피싱 차단 등 소비자 보호 정책을 열거하며 자랑했다. LG유플러스는 정부 정보보호 평가 최우수 등급과 자회사 보안 협의체 운영, 성과평가지표(KPI) 기반 보안 교육 등 조직 중심의 거버넌스를 내세웠다.
하지만 최근 일련의 해킹 사고에서 보고서 내용과 현실 사이의 괴리가 적나라하게 확인됐다. KT는 정부 조사에서는 펨토셀 인증서를 동일하게 사용하고 유효기간을 10년으로 설정하는 등 기초 보안에서 허점이 드러났고 비정상 IP 차단과 펨토셀 형상 정보 검증이 제대로 이뤄지지 않았다.
악성코드를 발견하고도 법정 신고 의무를 이행하지 않은 정황도 확인됐다. ESG 보고서에서 정보보호 전략위원회(ISSC) 운영과 최고정보보호책임자(CISO)·개인정보보호책임자(CPO) 체계를 기반으로 한 ‘사전 대응’과 ‘보안 거버넌스 강화’를 강조한 것과는 상반된 결과였다.
SK텔레콤은 ESG 보고서에서 △AI 기반 실시간 관제 △침해 예방 및 인증 체계 △자회사·공급망까지 확장된 통합 보안 거버넌스를 상세히 기술하며 ‘안정적 통신 서비스 제공’을 핵심 성과로 내세웠다. 하지만 지난해 4월 유심 정보 대규모 유출과 악성코드 감염 사례가 발생했다. 보고서에서 강조한 ‘연속성 기반 서비스 안정성’과 ‘선제적 위험 대응’은 실제 사고 대처 과정에서 찾아보기 어려웠다는 지적이 나오는 이유다.
LG유플러스는 침해 정황 통보 이후 일부 서버를 재설치하거나 폐기한 사실이 확인되면서 사고를 끝까지 감추려 했다는 의혹이 제기된 상황이다. 은폐 정황이 포착되자 정부는 경찰에 수사를 의뢰했고 사고 이후 대응 과정에서 투명성과 절차 준수 여부가 핵심 쟁점으로 부상했다. ESG 보고서에서 ‘고객 및 사회적 신뢰를 구축하겠다’는 내용과 반대되는 행보다.
통신 3사가 높은 점수를 받은 ESG 평가도 도마위에 오르고 있다. 한국ESG기준원(KCGS) 평가에서 SK텔레콤·KT·LG유플러스는 모두 종합 A 등급을 받았다. 이에 따라 ESG 보고서와 평가 체계가 사고 대응과 사회적 책임을 반영하지 못해 제도·평가 기준 개선이 필요하다는 목소리가 나온다.
이영애 기자 0ae@hankyung.com
관련뉴스
