정보유출 사태 후 CEO 교체…보안투자도 강화
강제성 위한 법개정 필요…신사업 투자는 미정
"소 잃고 외양간 왜 안 고칩니까. 제대로 고쳐야죠"
지난해 SK텔레콤 해킹 사태가 도화선이 되며 국내 기업들의 보안 시스템 취약점이 드러났다. 이후 KT도 소액결제 해킹과 서버 침해가 확인됐고, LG유플러스 역시 보안당국에 정보 유출 의심 사건을 신고했다.
통신사 뿐 아니라 금융사(카드사 등)를 비롯해 개인정보를 다루는 기업에서도 연이어 해킹 등으로 인한 유출 사고가 발생하면서 국민 불안감은 갈수록 확대되는 모습이다.
강제성 위한 법개정 필요…신사업 투자는 미정
"소 잃고 외양간 왜 안 고칩니까. 제대로 고쳐야죠"
지난해 SK텔레콤 해킹 사태가 도화선이 되며 국내 기업들의 보안 시스템 취약점이 드러났다. 이후 KT도 소액결제 해킹과 서버 침해가 확인됐고, LG유플러스 역시 보안당국에 정보 유출 의심 사건을 신고했다.
통신사 뿐 아니라 금융사(카드사 등)를 비롯해 개인정보를 다루는 기업에서도 연이어 해킹 등으로 인한 유출 사고가 발생하면서 국민 불안감은 갈수록 확대되는 모습이다.
뒷북 조치지만 통신사들은 보안 시스템 강화를 위해 대규모 투자를 단행한다는 계획이다. 전담 조직을 꾸리고 최고 경영자들도 고객 정보보안을 최우선 현안으로 강조하고 있다.
관건은 이 같은 조치의 실효성이다. 이와 함께 AI(인공지능) 등 통신사업에서 벗어난 신사업 확대 필요성도 커지고 있어 해킹사태 후 통신3사의 움직임이 주목되는 상황이다.
 |
'제로 트러스트' 앞세운 통신업계
통신3사는 정보보호 체계 강화를 앞세우며 '제로 트러스트'(Zero Trust)를 외쳤다. 제로 트러스트는 모든 사용자와 기기, 접속을 기본적으로 신뢰하지 않고 매번 검증한다는 보안 원칙이다.
SK텔레콤은 해킹 사태 발생 후 정보보안 체계에 5년 동안 7000억원을 투자하겠다는 계획이다. 최고 수준 정보보호 인력 영입과 내부 전담인력 육성 등 관련 인력을 기존보다 두 배로 확대한다.
CISO(정보보호최고책임자) 조직을 CEO 직속으로 격상해 책임과 역할을 강화하고 이사회에 보안 전문가를 영입, 보안 상태를 평가하고 개선하는 레드팀(Red Team)도 신설했다.
이와 함께 SK텔레콤은 해킹 사태 발생 후 6년여 만에 당기 순손실을 기록하는 등 위기에 봉착하자 수장 교체를 통해 경영 쇄신에 나섰다. 지난해 하반기 그룹 사장단 인사를 통해 정재헌 CGO(최고거버넌스책임자)가 SK텔레콤 CEO(최고경영자)로 선임됐다.
KT도 '정보보안 혁신TF'를 출범시켰다. 네트워크와 통신 서비스 전반에 대한 관리 기준을 강화하고 장비·서버·공급망을 통합 관리해 취약 요소를 사전에 차단하는 체계를 구축한다.
외부 전문기간과 협력한 정기 점검과 모의 해킹을 통해 보안 취약 요소를 상시 점검하고 정보보안에 5년 동안 1조원 규모를 투자한다는 방침이다.
LG유플러스의 경우 보안 거버넌스와 보안 예방, 보안 대응 등 3대 축을 중심으로 보안체계를 강화한다는 구상이다. 보안 거버넌스는 CEO 직속 보안전담조직인 정보보안센터를 편제해 책임과 권한을 보장한다. 홍관희 정보보안센터장(CISO)이 경영위원으로 보안을 포함한 주요 의사 결정에 참여하고 있다.
보안 예방은 해킹 등 내부 정보를 겨냥한 사이버 위협에 대비하기 위한 것으로 모의해킹 등을 통해 잠재된 취약점을 발굴한다. 보안 대응은 AI기반 관제 체계를 지속적으로 강화하고 있다는 설명이다. LG유플러스 역시 5년 동안 약 7000억원을 정보보안 분야에 투자한다는 구상이다.
 |
실효성 위한 법 개정 필요…신사업 투자 계획은 '미정'
정보보안 분야에 대규모 투자 계획을 세우고 전담조직 강화, 책임자 권한과 지위 확대 등 통신사들의 움직임에 대해 방향성은 맞게 가고 있다는 평가다. 다만 정보보안 중요성이 지속적으로 제기됐음에도 사고 발생 이전에 조치가 이뤄지지 못했다는 점이 아쉽다는 지적이다.
특히 이번 정보유출 사태 후 통신사들이 세운 정보보안 강화 대책 실효성을 높이려면 이행을 강제할 수 있는 법 개정이 필요하다는 게 전문가들 주장이다.
현재 정부는 상장사의 사이버보안 투자와 인력 현황 공개, 사고 신고 전 즉시 현장조사권 허용과 지속·반복적 보안 사고 기업에 대한 강력한 제재, CEO와 CISO의 책임 강화 방안 등을 논의하고 있다.
국회에서도 정보유출 통지 강화와 신속한 피해 정보 공개, 조사권 확대와 처벌 강화 등을 골자로 한 개인정보보호법 등 개정안이 제출됐지만 통과까지는 갈 길이 멀다.
안정상 중앙대 교수는 "중견 이상의 기업에게는 순이익의 6~10% 등 일정 부분을 정보보안에 투자하도록 하는 방안과 정보보안 실질적 책임자는 최고 경영자에 버금가는 수준으로 책임을 부여하는 내용을 법에 명기하는 게 필요하다"며 "이행하지 않을 경우 과징금을 부과하는 등 법 개정을 통해 강제성을 부여해야 제도 개선의 실효성을 높일 수 있다"고 강조했다.
정보유출 사태로 야기된 통신사 간 번호이동 치킨게임, 정보보안 관련 대규모 투자 계획 등이 통신사신사업 투자에 제약 요인이 될 수 있다는 우려의 시선도 존재한다.
현재 통신3사는 AI를 새로운 성장동력으로 삼고 사업을 확장하고 있다. SK텔레콤과 LG유플러스(LG AI연구원) 정부의 '독자 AI 파운데이션 모델' 프로젝트 2단계에 진출한 상태다. KT의 재도전 가능성도 열려 있다.
다만 AI를 포함한 6G 등 신사업 분야에 대한 구체적인 투자 계획은 통신3사 모두 정해진 게 없다는 입장이다. KT의 경우 박윤영 CEO 최종후보자가 공식 취임 후 구체적인 투자 계획 등이 드러날 전망이다.
한 통신업계 관계자는 "통신사업 성장성 한계로 AI와 6G 등 신사업 중요성이 커진 것은 맞다"며 "관련 분야에 대한 투자 계획은 MWC(모바일기기전시회) 등을 통해 드러날 것으로 예상돼 아직은 정해진 게 없는 상황"이라고 설명했다.
ⓒ비즈니스워치(www.bizwatch.co.kr) - 무단전재 및 재배포금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.