통신 3사, 역대급 실적에도…고객정보 보호엔 ‘찔끔’ 투자

3위 LGU+도 영업이익 1조 돌파

2021년 정보보호 예산은 292억원뿐

잇단 고객정보 유출·디도스 공격에

“정보보호 예산·인력 투자 미흡 대가”

이통 3사 매출액 대비 0.2~0.4% 그쳐

과학기술정보통신부가 엘지유플러스(LGU+)의 연이은 보안 사고에 대해 특별조사에 착수한 지난 6일, 서울 용산구 엘지유플러스 본사에서 직원들이 지나가고 있다. 연합뉴스

통신 3사 모두 조 단위 영업이익을 내면서 정보보호 투자는 ‘찔끔’ 수준에 그친 것으로 나타났다. 각각 가입자 개인정보를 수천만건씩 보유한 점을 감안할 때 무책임하다는 비판이 제기된다. 특히 최근 엘지유플러스(LGU+)는 전·현 가입자 개인정보 수십만건이 유출된 사실이 드러난데 이어 디도스(Ddos·대규모 데이터를 발생시켜 서비스를 마비시키는 공격)를 방어하지 못해 인터넷 접속이 반복적으로 끊기며 정부의 특별조사와 경고까지 받는 등 정보보호 투자를 소홀히 한 대가를 치르고 있다.

에스케이텔레콤(SKT)은 지난해 연결기준으로 17조3050억원의 매출을 올려 1조6121억원의 영업이익을 냈다고 8일 공시했다. 전년에 비해 매출은 3.3%, 영업이익은 16.2% 증가했다. 5세대 이동통신(5G) 가입자 수가 1339만명까지 늘었고, ‘미디어 사업’이라 부르는 고객 대상 콘텐츠, 광고, 커머스 사업 매출이 1조5373억원으로 전년 대비 20.8% 늘어난 덕분이라는 설명이다.

엘지유플러스는 지난해 연결기준으로 13조9060억원의 매출을 올려 1조813억원의 영업이익을 냈다고 지난 3일 밝혔다. 전년 대비 영업이익이 10.4% 증가하며 처음으로 1조원을 넘었다. 1년 사이 알뜰폰을 포함한 이동통신 가입자 수가 10.6% 늘며 총 가입자 수가 1989만6천명에 달했다. 인터넷티브이(IPTV)와 초고속 인터넷으로 구성된 스마트홈 부문 매출도 2조3445억원으로 전년 대비 6.4% 증가했다.

케이티(KT)는 9일 실적을 발표할 예정이다. 시장에선 케이티 영업이익을 1조7천억원 수준으로 점치고 있다.

문제는 통신사들이 이익 늘리기에만 급급하며 정보보호 투자는 소홀히 하고 있다는 점이다. 각 업체의 정보보호 공시에 따르면, 2021년 기준 엘지유플러스 정보보호 투자는 292억원, 에스케이텔레콤은 626억원, 케이티는 1021억원으로, 각각 매출액 대비 0.2~0.4% 수준에 그치고 있다. 정보보호 전담 인력은 엘지유플러스가 91.2명으로, 전 직원 수(1만477명) 대비 3.9% 수준에 그치고 있다. 그나마 이 가운데 내부 인력은 42명 뿐이다. 케이티는 335.8명으로 6.6%, 에스케이텔레콤은 1961명으로 7.8%다.

엘지유플러스의 정보보호 예산과 인력이 가장 뒤처지는 모습이다. 이 업체는 최근 잇따르는 디도스 공격을 막아내지 못해, 올해 들어서만 5차례나 인터넷 서비스 장애를 일으켰다. 지난달 29일에만 3차례, 지난 4일에는 2차례나 유선 인터넷 접속이 끊기는 현상이 발생해 이용자들이 불편을 겪었다.

더욱이 엘지유플러스는 가입자 개인정보 수십만건이 유출됐다고 발표한 지 한 달이 지나도록 정확한 피해 규모는 고사하고 유출 경위조차 제대로 파악하지 못하고 있다. 지난달 1일 21만명으로 발표된 개인정보 유출 건수가 지난 3일에는 29만명으로 8만명 늘어나는 등 자꾸 증가하고 있다. 늘어난 유출 건수에는 해지 가입자 것까지 포함된 것으로 드러나 불안감을 키우고 있다.

급기야 과학기술정보통신부가 지난 6일 특별조사에 착수하며 “기간통신사업자인 엘지유플러스의 기본적인 침해 대응체계가 미흡하다”며 경영진을 강력 경고하고 나섰다. 이종호 과기정통부 장관은 “국민들의 일상생활 마비로 이어질 수 있는 엄중한 상황”이라며 “엘지유플러스에 책임 있는 시정조치를 요구하고 주요 정보통신사업자의 침해사고 대응체계를 개편할 것”이라고 밝혔다. 국회 과학기술정보방송통신위원회도 오는 9일 긴급 현안 점검에 나선다. 엘지유플러스는 조사가 마무리되는대로 정보보호 관련 혁신안을 내놓을 계획이라고 밝혔다.

통신사들의 가입자 개인정보 유출은 이번이 처음이 아니다. 2014년에는 케이티 누리집이 해킹을 당해 가입자 1200만명의 개인정보가 유출됐고, 2016년에는 에스케이텔레콤 서비스가 해킹을 당해 가입자 위치정보가 대거 유출됐다. 이런 상황인데도 통신사들은 빅데이터 사업에 적극 나서고 있어, 가입자들의 불안감을 키우고 있다.

‘보안’의 중요성에 대한 인식이 부족한 게 문제라는 지적이 나온다. 한 보안업체 관계자는 “가입자 개인정보 데이터를 각각 수천만건식 수집해 갖고 있는 통신사를 상대로 한 사이버 공격이 늘고 있다. 회사와 보유 데이터 규모에 비해 정보보호 예산과 인력이 턱없이 적은 것도 문제지만, 가장 큰 문제는 경영진이 보안에 대한 투자와 보안 사고를 대하는 시각”이라고 지적했다. 가입자 개인정보를 유출하고, 매주 디도스 공격을 받아 통신망이 끊기면서도, 누가 어떻게 정보를 빼가고, 디도스 공격이 어떻게 이뤄지는지를 짐작조차 하지 못하고 있는 상황을 꼬집는 말이다.

앞서 알파벳(구글 모회사)의 켄트 워커 글로벌담당 사장은 지난해 열린 국제 사이버 보안회의에서 “사이버 보안이 우리가 직면한 가장 중요한 문제 중 하나”라며 “제로 트러스트(신뢰가 곧 보안 취약점이라는 생각으로 보안을 강화해야 한다는 개념) 프로그램을 확대하는 등 사이버 보안을 강화하기 위해 향후 5년 동안 100억 달러를 투자할 것”이라고 밝혔다.

임지선 기자 sun21@hani.co.kr

▶▶일본 온천여행 떠났다가 3명 숨져… ‘히트쇼크’ 뭐길래
▶▶한국인의 주식이 고기로 바뀌었다▶▶마음 따뜻한 소식을 받아보세요, 뉴스레터 모아보기

[ⓒ한겨레신문 : 무단전재 및 재배포 금지]