韩国三大电信运营商每年都会发布篇幅可观的ESG报告，信息安全也一直被列为重点议题。不过，随着安全事件接连发生，报告中有关安全投入、制度建设和治理能力的表述，正受到外界重新审视。

据电信行业消息，SK Telecom、KT和LG Uplus每年发布的ESG报告通常都长达数百页。在信息安全相关章节中，三家公司长期将扩大信息保护投入、提升管理体系成熟度、强化员工培训等列为重点任务，并反复提及统一安全监控、定期培训和用户权益保护等内容。单从报告表述来看，韩国电信行业的安全体系似乎已相当完备。

但在多起安全事故发生后，市场对这些应对机制是否在现实中真正有效运转的质疑不断升温。一名业内人士表示，报告中的描述几乎覆盖了安全管理的各个环节，但事故发生后，延迟通报、处置混乱等争议仍一再出现，这也让人不得不怀疑，其中部分表述是否只是“写给报告看的内容”。

“强化安全体系”反复写入报告，接连事故却持续冲击市场信任

以SK Telecom为例，该公司在去年5月发布的《2024年ESG报告》中，将推进零信任体系、建设统一监控中心列为主要安全战略。在信息保护政策的数据安全部分，报告还写明，将对重要数据进行加密处理，从源头阻断未授权访问。

但在去年大规模SIM卡信息泄露和恶意代码感染事件曝光后，外界开始质疑，其在报告中强调的风险应对机制是否在实际场景中发挥了应有作用。值得注意的是，在相关黑客事件于去年4月已为外界所知的情况下，SK Telecom随后发布的这份报告仍强调，公司将全力强化安全体系，保护客户信息、防止类似事件再次发生，并确保所有客户安心使用服务。

KT则在ESG报告中表示，将通过定期模拟演练和快速响应体系应对入侵事件。在“入侵事件响应”章节中，KT称，员工一旦识别到入侵事件，可通过多种渠道向各部门的信息安全负责人报告。不过，KT去年曾因就未授权小额支付事件延迟报告而受到批评。

在由民间和政府共同参与的调查组调查中，KT还被指出存在基础性安全漏洞，包括所有小型基站使用同一厂商证书，且证书有效期长达10年等问题。调查还暴露出结构性脆弱点：一旦通信加密被破解，短信或语音通话中的ARS认证信息就可能被窃取。

LG Uplus在ESG报告中不仅强调安全体系建设，也突出治理机制和流程建设，包括修订全公司信息保护规章和指引、运行全公司安全协商机制、设立外部信息保护咨询委员会等“安全组织强化成果”。但在合作企业出现遭入侵迹象后，该公司被确认曾对部分服务器进行重装或报废，由此引发“隐瞒事故”的质疑。韩国政府认为相关行为属于不当处置，并已以涉嫌妨碍公务为由向警方提出调查请求。

ESG评级并不低，但安全事故仍在重复发生

围绕三大运营商的ESG评价结果，业内也出现了不少质疑声音。在韩国ESG基准院（KCGS）2025年评级中，SK Telecom、KT和LG Uplus的综合评级均为A。电信行业属于与国民日常生活直接相关的关键基础设施领域，但在接连发生安全事故、管理漏洞不断暴露的背景下，已有观点认为，现行ESG评价体系并未充分反映企业在事故应对能力和责任落实方面的实际水平。

专家指出，运营商的安全体系不能停留在口号和文件层面，而应真正成为企业核心治理的一部分。除了监控体系建设和安全解决方案升级等基础工作外，“预防—侦测—响应—报告”全流程还需要形成可闭环、可验证的联动机制。

Soonchunhyang University信息保护学系名誉教授 Yeom Heung-yeol表示，企业不能只停留在制定安全对策，还必须建立能够验证其实际有效性的治理体系。他指出，ESG报告应具体披露，在首席信息安全官统筹下，安全政策的制定、落实、执行以及有效性验证等环节是否真正到位。

一名安全行业人士也表示，企业是否尽到了应有责任，外部应当能够作出判断。因此，除了引入安全解决方案，报告中还应纳入预算执行过程、安全流程运行情况等可供外部核查的信息。