[이진호 기자]
[디지털투데이 이진호 기자] 통신사들이 매년 공들여 발간하는 ESG 보고서가 때아닌 시험대에 올랐다. 핵심 항목으로 제시하는 정보보안이 연이은 해킹 사고 앞에서 신뢰를 잃었기 때문이다. 노력을 강조한 것과 다르게 실제 사고 국면에서 드러난 허점이 보고서의 설득력을 약화시키고 있다는 지적이다.
21일 통신업계에 따르면 SK텔레콤·KT·LG유플러스 등 통신 3사는 매년 수백 쪽 분량의 ESG 보고서를 발간한다. 이들은 보고서에서 보안 관련 핵심 과제로 정보보호 투자 확대, 관리 프로세스 고도화, 임직원 교육 강화를 제시해왔다. 통합보안관제, 정기 교육, 정보주체 권리 보장 같은 표현도 빠지지 않는다. 보고서만 보면 국내 통신 보안 체계가 상당 부분 안정화된 것처럼 읽힌다.
하지만 보안 사고가 잇따르면서 보고서가 제시한 대응 프로세스가 실제로 작동했는지 의문이 커지고 있다. 한 업계 관계자는 "보고서만 보면 대응 체계가 완벽한데, 사고 때는 신고 지연이나 대응 혼선 같은 논란이 반복된다"며 "보고서를 위한 문장 만들기였는지 점검해볼 필요가 있다"고 지적했다.
![통신사들이 매년 공들여 발간하는 ESG 보고서가 연이은 보안 사고로 예상치 못한 시험대에 올랐다. [사진: 셔터스톡]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/81/2026/01/21/20786713bbf347ba8e21ee519fc08652.jpg) |
통신사들이 매년 공들여 발간하는 ESG 보고서가 연이은 보안 사고로 예상치 못한 시험대에 올랐다. [사진: 셔터스톡] |
[디지털투데이 이진호 기자] 통신사들이 매년 공들여 발간하는 ESG 보고서가 때아닌 시험대에 올랐다. 핵심 항목으로 제시하는 정보보안이 연이은 해킹 사고 앞에서 신뢰를 잃었기 때문이다. 노력을 강조한 것과 다르게 실제 사고 국면에서 드러난 허점이 보고서의 설득력을 약화시키고 있다는 지적이다.
21일 통신업계에 따르면 SK텔레콤·KT·LG유플러스 등 통신 3사는 매년 수백 쪽 분량의 ESG 보고서를 발간한다. 이들은 보고서에서 보안 관련 핵심 과제로 정보보호 투자 확대, 관리 프로세스 고도화, 임직원 교육 강화를 제시해왔다. 통합보안관제, 정기 교육, 정보주체 권리 보장 같은 표현도 빠지지 않는다. 보고서만 보면 국내 통신 보안 체계가 상당 부분 안정화된 것처럼 읽힌다.
하지만 보안 사고가 잇따르면서 보고서가 제시한 대응 프로세스가 실제로 작동했는지 의문이 커지고 있다. 한 업계 관계자는 "보고서만 보면 대응 체계가 완벽한데, 사고 때는 신고 지연이나 대응 혼선 같은 논란이 반복된다"며 "보고서를 위한 문장 만들기였는지 점검해볼 필요가 있다"고 지적했다.
◆'보안 체계 강화' 강조했지만…연이은 사고로 신뢰 흔들
일례로 SKT는 지난해 5월 발간한 2024년 보고서에서 제로 트러스트 체계 추진과 통합관제센터 운영을 주요 보안 전략으로 내세웠다. 회사 정보보호 정책의 데이터 보안 파트에서는 중요 데이터를 암호화 처리해 비인가 접근을 원천 차단한다고 기술했다.
하지만 지난해 대규모 유심 정보 유출과 악성코드 감염 사례가 알려지면서, 보고서에서 강조한 위험 대응이 실제 상황에서 충분히 작동하지 않았다는 지적이 나온다. SKT는 해킹 사고가 알려진 4월 이후 발간한 해당 보고서에서 "모든 고객이 안심할 수 있도록 고객 정보 보호와 재발 방지를 위한 보안 체계 강화에 최선을 다하겠다"고 강조했다.
KT는 자사 ESG 보고서에서 침해 사고에 대비한 주기적 모의훈련과 신속 대응 체계를 강조했다. 보고서 내 침해사고 대응 파트에서는 "침해사고를 인지한 임직원은 다양한 채널을 활용해 부문별 정보보안관리자에게 보고한다"고 설명했다. 그러나 KT는 지난해 무단 소액결제 사고를 늦장 신고해 질타를 받았다.
민관합동조사단 조사에서는 모든 펨토셀에 동일한 제조사 인증서를 사용하고 유효기간을 10년으로 설정하는 등 기초적 보안 허점이 드러났다. 통신 암호화가 해제돼 SMS나 음성통화 ARS 인증 정보가 탈취될 수 있는 구조적 취약점도 노출됐다.
LG유플러스는 ESG 보고서를 통해 보안 체계뿐 아니라 조직과 절차도 강조했다. 전사 정보보호 규정 및 지침 제·개정, 전사 보안협의체 운영, 외부 정보보호자문위원회 등 보안 조직 강화 성과를 내세웠다. 하지만 보안 협력사의 침해 정황 이후 일부 서버를 재설치하거나 폐기한 사실이 확인되면서 사고 은폐 의혹이 제기됐다. 정부는 LG유플러스의 이 같은 행위를 부적절한 조치로 보고 공무집행방해 혐의로 경찰에 수사의뢰한 상태다.
◆ESG 성과는 좋은 데 사고는 반복
통신 3사의 ESG 평가 결과를 두고도 아쉬움의 목소리가 나온다. 2025년 한국ESG기준원(KCGS) 평가에서 SKT·KT·LG유플러스는 모두 종합 A 등급을 받았다. 통신은 국민 생활과 직결되는 핵심 인프라 산업이다. 그러나 연이은 보안 사고와 관리 미흡 정황이 확인되면서, 현행 ESG 평가 체계가 사고 대응 역량과 책임을 제대로 반영하지 못한다는 지적이 나온다.
전문가들은 통신사 보안 체계가 말뿐이 아닌 핵심 거버넌스로 자리 잡아야 한다고 강조한다. 관제나 솔루션 고도화는 기본이고, '예방-탐지-대응-보고' 전 과정이 유기적으로 돌아가야 한다는 조언이다.
염흥열 순천향대 정보보호학과 명예교수는 "단순히 보안 대책을 수립하는 데 그쳐선 안 된다"며 "효과성을 검증하는 거버넌스 체계가 필요하다"고 말했다. 이어 "보안 정책 수립과 구현, 집행, 효과성 확인까지 최고정보보호책임자 지휘 아래 제대로 적용됐는지 ESG 보고서에 구체적으로 기술해야 한다"고 덧붙였다.
한 보안업계 관계자는 "기업이 책임을 다했는지 외부가 판단할 수 있어야 한다"며 "보안 솔루션 도입은 기본이고, 예산 집행 과정과 보안 프로세스 운영 흐름까지 담아야 할 것"이라고 말했다.
<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.