한국ESG기준원(KCGS)이 LG유플러스의 ESG등급 가운데 사회 부문을 'A+'에서 'A'로 조정했다. 고객 개인정보 유출 사고가 났는데 사이버 리스크 대응체계가 제대로 작동되지 않았다고 판단해서다. ESG 평가 영역 가운데 가장 뛰어난 부분이었는데 이번 조치로 다소 주춤했다.

LG유플러스는 보안 및 품질투자에 1000억원을 투자하고 고객 신뢰 회복에 집중할 방침이다. 모든 고객 대상으로 유심 무상 교체도 진행했고 조만간 구체적인 피해지원안을 발표할 예정이다. 이를 통해 다시 ESG 등급을 개선해 명예를 회복할지 주목된다.

◇개인정보 유출·디도스 여파에 LGU+ 사회 등급 조정

KCGS는 최근 ESG 평가·등급 소위원회를 개최해 총 4개사의 ESG 등급을 하향 조정했다. 2020년부터 KCGS는 ESG 등급의 시의성을 높이기 위해 분기마다 ESG 등급을 조정하고 있다. 이번에는 1분기 중 확인된 ESG 위험을 반영한 결과를 발표한 것이다.

LG유플러스도 그중 하나였다. 고객 개인정보 유출 사고가 발생했는데 사이버 리스크 대응체계가 미비했다고 판단해 사회 부문 등급을 기존 'A+'에서 'A'로 낮췄다.

앞서 LG유플러스에서는 올해 초 사이버 공격으로 29만명의 개인정보가 유출됐다. 1월 말~2월 초 분산 서비스 거부(디도스·DDoS)로 추정되는 대용량 데이터가 유입되면서 총 다섯 차례에 걸쳐 유선 인터넷 접속 장애가 발생하기도 했다.

이에 따라 정부가 직접 팔을 걷어붙이고 나서기로 했다. 과학기술정보통신부와 한국인터넷진흥원(KISA), 보안 전문가로 구성된 특별조사점검단이 꾸려서 사고 원인을 조사하고 있는데 아직 구체적인 결과를 발표하진 않은 상황이다.


LG유플러스가 그동안 KCGS로부터 평가받은 ESG등급 중에서는 사회 부문이 가장 빼어났다. 2021년과 지난해 연속으로 'A+' 등급을 평정받았다. ESG 통합등급이나 환경, 지배구조 부문은 모두 'A'를 받았다. 이번 조정으로 사회 부문 역시 여타 항목과 같은 레벨에 놓였다.

◇CISO·CPO CEO 직속 조직 강화, 사이버안전 혁신안 발표…명예 회복 도전

LG유플러스 역시 쇄신 작업에 돌입했다. 지난 2월에는 기자간담회를 열고 개인정보보호와 사이버 공격에 대응하고 보안과 품질 등 기본을 강화하는 '사이버안전 혁신안'을 발표했다. 황현식 LG유플러스 대표이사 사장을 비롯한 주요 경영진은 고개 숙여 사과하고 고객 관점에서 기본부터 다시 점검하겠다는 입장을 밝혔다.

혁신안은 △정보보호 조직·인력·투자 확대 △외부 보안전문가와 취약점 사전점검·모의 해킹 △선진화된 보안기술 적용 및 미래보안기술 연구·투자 △사이버 보안 전문인력 육성 △사이버 보안 혁신 활동 보고서 발간 등으로 구성된다.

기존 LG유플러스의 전사 보안 조직을 이끄는 정보보호최고책임자(CISO) 조직은 최고재무책임자(CFO) 겸 위기관리책임자(CRMO) 산하에 있었다. 이번 사고를 계기로 LG유플러스는 전사정보보호·개인정보보호책임자(CISO·CPO)를 CEO 직속 조직으로 강화하고 영역별 보안 전문가를 영입해 역량을 강화하기로 했다.


보안과 품질에 대한 투자도 강화해 연간 정보보호 투자액을 1000억원 수준으로 키우기로 했다. 전년 대비 3배 수준에 달하는 규모다.

보안컨설팅기업과 전문기관, 학계에 종사하는 외부 전문가들로 구성된 정보보호위원회도 운영한다. 내부적으로도 전사적인 사이버 보안 강화 활동과 함께 사이버 보안 전문인력 양성에도 힘쓸 방침이다.

나아가 LG유플러스는 학계, 법조계, 비정부단체(NGO) 등과 함께 피해지원협의체를 구성해 고객별 유형을 고려한 종합 피해지원안을 마련할 예정이다. 해당 방안은 조만간 구체적으로 발표할 것으로 전해진다.

이미 고객 개인정보 보호 활동이 활발하게 이뤄지고 있다. 개인 정보가 유출되지 않았더라도 유심(USIM)을 무료로 교체해주는 서비스를 진행했다. 아울러 전화가 올 때 알림창을 통해 스팸 여부를 확인할 수 있는 서비스 'U+스팸전화알림' 앱을 무료 지원했다.