ESG 평가 A등급 받은 이통3사 … 해킹사고 반영 왜 안됐나

국내 이통3사가 올해 ESG 등급 평가에서 지난해와 같은 성적표를 받아들었다. 해킹 사고로 등급 하락이 예견됐지만 다른 항목으로 상쇄하며 선방한 것으로 보인다.

4일 한국거래소가 운영하는 ESG포털에 따르면 SK텔레콤과 KT, LG유플러스는 한국ESG기준원(KCGS)과 MSCI 등 주요 ESG 평가기관에서 지난해와 동일한 종합 A등급을 유지했다.

항목별로 부분 조정은 있었지만, 종합 평가에는 영향을 미치지 못한 것으로 나타났다. KCGS에서 SK텔레콤은 지난해 11월 정기 ESG 등급 조정을 통해 사회 부문이 A+에서 B+로 하락했고, KT는 지난해 4분기 기준 등급 조정으로 사회 부문이 A+에서 A로 변경됐다. 양사 모두 해킹에 따른 개인정보보호 관리가 미흡했다는 점에서다.

지난해 모두 해킹 이슈를 겪은 이통3사는 ESG등급 하락이 불가피할 것으로 예견됐지만 큰 변화를 겪지 않았다. 한국ESG평가원은 지난해 4월 SK텔레콤 유심정보 유출 사고 시점에 사회부문 분야별 최대 5점씩 낙폭을 예상하면서 사회 등급과 종합 등급이 모두 한 단계씩 하락할 수 있다는 전망을 내놨다. 다만 등급 하향 조정에도 종합 평가는 유지되면서 낙폭을 최소화했다.

해외 기관 평가에서도 비슷한 양상을 보인다. 국내 ESG 평가 기관이 사고 수습 등에 가점을 주면서 등급을 유지했다면, MSCI 등 해외 기관은 사고 자체는 심각한 감점이지만 다른 글로벌 표준에서 높은 점수를 얻으며 산술적으로 유지한 것. 정보 유출 등 보안사고 이력에도 환경과 거버넌스 부문에서 이를 상쇄한 모습이다.

이통3사가 그만큼 ESG 등급을 민감하게 관리하고 있다는 평가가 나온다. 해킹 사고로 떨어진 점수를 고객 보상안 발표 등 사후 대응과 다른 영역의 성과로 상쇄하며 등급을 유지했기 때문이다. ESG 평가는 단일 사건으로 결정되지 않고 수백 개 항목 총합으로 산출된다는 점에서 등급 유지가 가능하다.

등급 유지에 목을 매는 이유는 투자가치를 평가하는 지표로서 하향 조정 시 재무적 측면 타격이 상당하기 때문이다. 주요 기관 투자자나 글로벌 자산운용사는 ESG 등급이 일정 수준 미만인 기업을 포트폴리오에서 배제하거나 비중을 줄이고 있다. 신용평가사들도 기업 신용등급을 결정할 때 ESG 위험 요소를 반영하는 추세다.

향후 ESG 평가에서 등급이 하락할 여지는 남았다. KT와 LG유플러스는 조사 방해와 서버 은폐 정황으로 경찰 조사 중이며, LG유플러스는 공시를 통해 수사 결과에 따른 과징금과 형사책임 가능성을 투자 위험 요소로 인정한 바 있다. 수사 결과로 은폐 여부가 확인된다면 사회 영역과 더불어 투명한 경영과 윤리를 다루는 지배구조 부문에서 점수가 크게 떨어질 수 있다.

업계 관계자는 “이통3사는 매년 ESG 보고서에서 보안 투자 확대와 ISMS 인증을 내세워 정보보호 관리를 체계적으로 하고 있다고 내세웠지만 해킹 사고로 공염불이 됐다”며 “다른 항목에서 가산점을 받아 ESG 등급 유지에 애쓰는 만큼 보안 사고를 사전에 방지하기 위한 대책이 필요하다”고 말했다.