[이슈플러스]SK텔레콤 유심해킹 1년…투자확대 '긍정'·규제 개선 '과제'

통신3사 대규모 해킹 사고 개요·후속대책

지난해 4월 발생한 SK텔레콤의 초대형 고객정보 유출 사고를 시작으로 KT, LG유플러스, 쿠팡, 롯데카드까지 통신·유통·금융 등 전 영역에 걸친 해킹 사고는 국민적 충격을 안겨줬다.

통신으로부터 촉발된 대규모 해킹 사태를 인공지능(AI) 시대 예방 주사로 활용해야 한다는 전문가 여론이 비등했다. 1년이 지난 현재 지난해 사고 발생 기업은 거버넌스 개편, 정보보안 투자 집행, 기술 개발 등에 후속조치 실행에 분주하다.

보안 재건이 지금도 이뤄지고 있지만, 데이터 사용이 폭증하는 AI 시대의 새로운 보안 위협 대응과 무너진 국민 신뢰 등 과제도 산적하다. 규제 차원에서는 처벌 일변도가 아니라, 실질적인 가이드를 제시하며 정보보호를 진흥하는 정책 전환이 필요하다는 전문가 여론이 제시된다.

◇정보보호 투자 70% 이상 확대…거버넌스 개편

지난해 대규모 해킹 사태 이후 기업은 보안 거버넌스를 강화하고, 투자를 확대하는데 주력했다.

통신 3사는 해킹 사고 이후 가장 먼저 정보보안 투자 확대와 거버넌스 개편을 선언했다. SK텔레콤과 LG유플러스는 각각 5년간 7000억원, KT는 5년간 1조원을 투자하겠다고 밝혔다. 산술적으로 올해 통신 3사의 정보보안 투자 규모는 총 4800억원 규모로, 사고 발생 전인 2024년(2730억원)과 비교해 75.8%나 늘었다. 대부분 인력 충원, 신규 보안 솔루션 구축, 정보보안 취약점 점검, 보안 관련 신규 연구개발(R&D) 등에 투입된다. 롯데카드 역시 5년간 1100억 규모 정보보안 투자를 단행하겠다고 밝혔다.

통신 3사는 보안을 총괄하는 최고정보보안책임자(CISO) 역시 최고경영자(CEO) 직속으로 편제를 개편했다. 특히 SK텔레콤과 KT는 아마존과 금융결제원 출신의 보안 전문가를 외부 영입하며 사고 수습과 보안 새 판짜기에 돌입했다. 쿠팡은 기존 최고기술책임자(CTO) 산하 정보보안단을 CEO 직속 정보 보안실로 격상했고, 롯데카드 역시 CISO를 CEO 직속 조직으로 바꿨다.

이경호 고려대학교 정보보호대학원 교수는 “대규모 해킹 사고 이후 가장 눈에 띄는 후속 조치는 기업 대부분이 CISO 조직을 CEO 직속으로 전환 배치한 것”이라며 “보안 이슈를 CEO가 직접 챙기겠다는 메시지도 주지만, 앞으로는 CISO가 CEO와 직접 소통하며 각종 현안을 논의한다는 점에서 긍정적”이라고 평가했다.

◇제로트러스트 기반 AI 보안 패러다임 대응 필요

지난해 대규모 정보유출 사고는 시스템 관리망 서버 침투, 불법 펨토셀(초소형 기지국) 운영, 권한관리(APPM) 서버 취약점 공격 등 대상과 방법이 다양했다. 그동안 주 공격 대상이 나 방법이 아니라 새로운 접근법을 적용했을 뿐 아니라 단순히 정보 탈취를 넘어 이를 활용한 2차 범행(소액결제)이 이뤄졌다는 점에서 큰 파장을 몰고 왔다.

전문가들은 이번 사건을 계기로 '제로트러스트(아무도 믿지 않는다)' 원칙에 입각해 모든 시스템에 설계 단계부터 보안을 적용한 혁신이 필요하다고 입을 모은다. 특히 전 산업에서 인공지능(AI) 투자가 활발히 일어나는 상황에서 정보보안 투자가 AI전환(AX) 성공을 좌우할 핵심 요소로 봐야한다는 주장도 한다.

염흥열 순천향대 정보보호학과 명예교수는 “AI가 전 산업에 확산하며 다양한 공격을 탐지하고 방어할 역량을 제공하기도 하지만 반대로 다양한 AI 서비스가 내부 시스템과 연결되면서 취약점도 늘어날 수 있다”며 “결국 성공적인 AX를 위해선 시스템 설계 단계부터 보안을 적용, 시스템 안정성을 담보할 수 있을 때 가능한 것”이라고 말했다.

다양한 기업·기관에서 보안 충격 이후 제로트러스트를 실현하기 위해 노력하고 있다. 전문가와 정부의 실질적인 가이드라인 제시가 필요하다는 조언이다.

배경훈 부총리 겸 과학기술정보통신부 장관이 지난해 10월 서울 종로구 정부서울청사에서 범부처 정보보호 종합대책을 발표 후 취재진 질문에 답변하고 있다. 정부는 최근 일련의 해킹사고를 심각한 위기 상황으로 인식하고 범정부 차원의 유기적인 대응체계를 즉시 가동한다. 국가안보실을 중심으로 즉시 실행할 수 있는 단기과제 위주의 범부처 정보보호 종합 대책을 수립하고 이후 중장기 과제를 망라하는 '국가 사이버안보 전략'을 연내 수립할 계획이다. 왼쪽부터 이용석 행정안전부 디지털정부혁신실장, 신진창 금융위원회 사무처장, 김창섭 국가정보원 제3차장, 배 부총리. 이동근기자 foto@etnews.com

◇처벌 중심 규제 넘어 선제 대응체제로

지난해 사고 이후 정부도 칼을 빼 들었다. 총 두 차례 정보보호 종합 대책을 발표하며 주요 기관의 보안 취약점 전면 점검, CEO의 보안 책임 명문화, 해킹 정황 파악에 따란 정부의 직권 조사 권한 부여, 침해발생 초기부터 유출가능성에 따른 소비자 통지 의무화 등 시행을 알렸다. 이외에도 국회에선 징벌적 손해배상, 대규모 정보 유출에 따른 집단 소송 등 법제화 움직임도 활발히 진행됐다.

지속적인 사고에도 정보보안 사고가 끊이질 않는 것은 기업의 인식 부족과 투자 외면 영향이 첫번째 원인으로 지목된다. 다만, AI 대전환 시대에 접어들며 새로운 정보보안 규제 방향을 설정해야 한다는 목소리도 높다.

지난해 규제 강화 위주의 법률 개선이 이뤄졌다면, 올해에는 실질적인 점검 강화와 동시에, 제로트러스트 보안강화에 대한 '인센티브'를 염두에 둔 정책개발, 제도 개선이 필요하다는 조언이 제시된다.

이 교수는 “지난해 사고 이후 정부가 규제를 강화하면서 기업들은 보안을 기술이 아닌 컴플라이언스 이슈로 받아들이게 됐고, 장기적으로는 사업까지 위축할 수 있는 우려가 있다”며 “보안을 규제가 아닌 사업 경쟁력을 높일 요소로 인식할 수 있게끔 투자에 따른 인센티브와 사고 발생 전 취약점 공개 등 노력에 대해서는 면책 조항을 명문화하는 생태계 관점에서 규제를 개선해야 한다”고 말했다.

정용철 기자 jungyc@etnews.com