개인정보 철저히 지켜야 하는 통신업계
SKT·KT·LGU+, 비용과 인력 늘려왔으나
매출에 비하면 약한 정보보호 투자 규모
해킹 사태에 경각심…“거금 쏟아붓는다”

경기도 과천시 KT 네트워크 관제센터에서 KT 직원들이 정보보안 현황을 모니터링하고 있다. (사진=KT)

보안이 보이지 않는다. 한국인터넷진흥원(KISA) 정보보호 공시를 확인한 결과, 기업들의 인식을 알 수 있었다. 전체 매출 대비 정보보호에 관한 투자는 미미한 것으로 나타났다. 팽팽해야 하는 안보가 얼마나 느슨했는지 수치가 증명했다. 그러나 최근 연이어 발생한 대규모 해킹 사태는 경각심을 불러일으켰다. 다시금 재무장에 들어간 기업이 적잖다. 헐거웠던 보호벽과 이내 견고해지려는 조짐을 두루 들여다봤다. <편집자주>

지난 2년간 SK텔레콤, KT, LG유플러스 등 통신 3사의 정보보호부문 투자 추이를 보면, 대체로 늘려온 것을 알 수 있다. 다만 투자액은 공통적으로 증가한 반면, 전담인력 배치에서는 차이를 보였다.

SK텔레콤은 2023년 정보보호부문에 600억 원을 썼는데 2024년에는 652억 원으로 늘렸다. 같은 기간 KT는 1217억 원에서 1250억 원, LG유플러스는 631억 원에서 828억 원으로 증가시켰다. 지난해 정보보호부문에 1000억 원 이상 투자한 기업이 KT와 3562억 원을 투입한 삼성전자뿐인 점을 감안하면 3사 모두 적은 건 아니었다.

정보보호부문 전담인력 증감은 엇갈렸다. SK텔레콤은 2023년 222.4명에서 이듬해 219.2명으로 줄었고 KT는 336.6명에서 290.2명으로 감소했다. 반면 LG유플러스는 157.5명에서 292.2명으로 크게 늘었다.

공통적으로 아쉬운 점은 정보기술부문 투자와의 격차다. 지난해 정보기술부문 투자액 대비 정보보호 투자 비중은 SK텔레콤 4.2%, KT 6.3%, LG유플러스 7.4%였다. SK텔레콤은 2023년 4.1%에서 소폭 상승했고 KT는 6.4%에서 감소했다. LG유플러스는 6.6%에서 대폭 증가했다. 기업마다 차이를 보였지만, 보안에 철저해야 하는 통신업 특성상 그럼에도 부족하다는 목소리가 나온다.

전체 매출과 견주어도 마찬가지다. 지난해 SK텔레콤은 17조 원, KT는 26조 원, LG유플러스는 14조 원의 매출을 기록했다. 매출 대비 정보보호부문 투자 비중이 3~4%대에 머무른 것이다. 쓴다고 썼지만, 정보보호를 위한 투자를 더 늘려야 한다는 지적이 나오는 이유다.

지난 4일 SKT 본사에서 열린 ‘책임과 약속’ 기자 간담회에서 유영상 CEO(가운데)가 ‘책임과 약속’ 프로그램에 대해 설명하는 모습 (사진=SK텔레콤)

인프라 확충·인력 확보…“두 토끼 잡는다”

앞으로는 달라질 전망이다. 전환점은 지난 4월 발생한 SK텔레콤의 사이버 침해 사고다. 초유의 해킹 사태에 3사 모두 경각심을 갖고 철옹성을 세우기 위한 대규모 투자 계획을 속속 발표했다.

우선 SK텔레콤은 앞으로 5년간 정보보호에 7000억 원을 투자할 계획이다. 동시에 전문가 확보에도 주력한다. 최고 수준의 인력 영입과 내부 전담인력 육성을 추진하면서 기존 대비 정보보호 전문 인력을 2배 이상 확대한다는 목표다.

정보보호최고책임자(CISO) 조직은 CEO 직속으로 격상한다. 책임과 역할 강화를 위해서다. 이밖에 이사회에 보안 전문가를 영입하고 회사 보안 상태를 평가하고 개선하는 레드팀(Red Team)을 신설해 전반적인 사이버 보안체계를 강화해 나갈 예정이다.

LG유플러스는 ‘정보보호백서 2024’에 보안 역량 강화를 위한 투자 내용을 수록했다. LG유플러스는 지난해 정보보호를 위해 약 828억원을 투자했는데 올해는 전년대비 30% 이상 확대할 계획이다. (사진=LG유플러스)

KT는 5년간 1조 원을 쏟아붓는다. 청사진으로 내세운 건 AI 모니터링 체계 강화, 글로벌 협업 및 진단 컨설팅 확대, 제로트러스트 체계 완성, 보안전담인력 확충 등 4대 정보보호 혁신이다.

먼저 KT는 고유의 보안 프레임워크인 ‘K-Security Framework’를 운영한다. 고객 개인정보 보호 전 과정에 대한 철저한 통제에 나서기 위해서다. 단순한 방어가 아닌, 예측하고 차단하는 ‘막을 수 있는 보안’ 실현이 목표다. 이와 함께 KT는 정기적 모의해킹과 취약점 개선활동을 정례화하고, 3자 정보보호 점검을 통해 외부 위협요소를 사전에 예방한다는 계획이다.

또한 정보보호를 위해 전사적 기술역량과 관제 인프라를 동원한다. 구체적으로 전국 365일 24시간 통합 네트워크 관제 인프라를 기반으로 국내 최초로 IT와 네트워크 통합 사이버보안센터를 구축해 운영할 계획이다.

2년 전부터 선제적으로 추진 중이던 ‘제로트러스트(Zero Trust)’ 체계도 보강한다. 제로트러스트는 사용자와 디바이스를 끊임없이 검증하고 최소 권한만을 부여하는 보안 원칙을 뜻한다.

LG유플러스는 올해 정보보호부문 투자를 전년 대비 30% 이상 확대할 계획이다. 지난해 이 회사가 여기에 828억 원을 썼다는 점을 감안하면 약 1076억 원으로 크게 증가할 것으로 보인다.

업계 관계자는 “IT 분야를 제외한 일반 기업들은 보통 매출의 1%도 되지 않는 수준을 정보보호에 쓴다”며 “그러나 많은 고객을 관리하는 통신사들은 얘기가 다르다”고 했다.

그러면서 “통신사는 최고 수준의 보안 역량을 필요로 한다”며 “최근 발생한 유례없는 해킹 사고는 3사 모두 다시금 견고한 안전펜스를 만들어야 한다는 공감대를 형성하는 시발점이 됐다”고 말했다.

(CNB뉴스=선명규 기자)