KT 무단소액결제 사건, ESG평가→ 매우 부정적...등급하락 예상

[ESG경제신문=김대우 기자] KT가 최근 발생한 무단 소액결제 사고로 사회(S) 및 거버넌스(G)부문 평가점수 하락이 불가피해 ESG 종합등급 하락이 예상됐다.

한국ESG평가원은 2일 ESG 컨트로버시 보고서(Controversy Report)를 내고 이번 사건은 사고의 심각성과 대응과정의 문제점으로 인해 사회부문 소비자 보호와 거버넌스부문 리스크 관리 및 내부통제 평가에서 큰 감점 처리가 불가피하다며 등급 하락을 예측했다.

이번 무단 소액결제 사건은 KT의 사회(S)부문 평가항목 중 개인정보 보호노력, 고객과 제품에 대한 안전관리시스템, 산업보안체제 평가 등 3개 항목과 거버넌스(G)부문 리스크관리 및 내부 통제 항목에 연관되어 있다. 각 항목 평가에 심각한 영향을 미치는 사안으로 큰 폭의 감점이 불가피해 보인다.

한국ESG평가원의 2024년 KT 정기 ESG평가 현황

KT는 지난해 한국ESG평가원의 정기평가에서 ESG 종합등급이 ‘S등급’으로 최고 수준을 기록했다. 환경(E)은 B+등급으로 동종 업종내에서 낮은 수준이나 사회(S) 및 거버넌스(G) 등급이 ‘S’로 최고 평가를 받고 있다.

평가원은 “KT는 보안시스템의 근본적인 문제점 파악 및 신속한 개선 노력을 수행함으로써 ESG 리스크 회복에 노력해야 할 것”이라고 지적했다.

KT 무단 소액결제 사건은 지난 8월부터 9월초까지 해커가 불법 초소형 기지국 (펨토셀)을 이용해 KT 가입자의 식별 정보(IMSI)와 기기식별정보(IMEI)를 탈취하고 피해자가 모르는 사이에 상품권 구매 등의 소액 결제가 반복적으로 이뤄지도록 한 신종 해킹 사건이다.

피해 규모는 현재까지 362명 2억4000만원 규모에 불법기지국 4개, 개인정보 유출 2만명 등으로 파악되고 있다. 이 과정에서 KT의 관리 부실과 통신망의 보안허점이 발견돼 파장이 커지고 있으며, 민관합동조사단이 원인 규명 및 통신서비스의 보안 취약점을 파악하고 있다.

기간산업 전반적인 보안 시스템 점검 및 개선 필요성 대두

우리나라 기간 통신망이 새로운 기법의 해킹을 당한 이번 사건은 그동안 우리나라 각 분야에서 보안 문제에 얼마나 소홀했는지, 전반적인 보안 시스템 점검 및 개선이 얼마나 시급한 사안인지 분명하게 말해주고 있다.

평가원은 이번 사건의 기본적인 문제점으로 KT가 주요 해킹수단으로 사용된 펨토셀을 SK텔레콤(7000대)이나 LG유플러스(2만8000대)보다 압도적으로 많이 사용(23만2000대)하고 있음에도 미사용장비 자동차단, 위치 급변시 고유값 등록 삭제 등 기본적인 관리체계를 갖추지 않았다는 점을 꼬집었다. 또 사건초반 원인판단 오류로 즉각적인 대응이 이뤄지지 않았고, 피해규모를 축소 발표하는 등 KT 측의 사후대응에도 문제가 많았다고 지적했다. 

한국ESG평가원 허창협 평가위원은 “KT를 포함한 모든 기업들은 개인정보 보호와 제품·서비스의 안전관리, 산업보안 체제를 다시 한번 점검해 이러한 사고가 재발되지 않도록 해야 할 것”이라며 “(만약) 사고가 발생할 경우 올바른 대응을 할 수 있도록 리스크 관리체계도 점검하고 보완해야 할 것으로 판단된다”고 말했다.