홍범식 LG유플러스 대표는 21일 국회 과학기술정보방송통신위원회 국정감사에서 해킹 피해 정황이 드러난 서버를 무단 폐기했다는 의혹이 제기되자 한국인터넷진흥원(KISA)에 해킹 피해를 신고하겠다고 밝혔다.
올해 4월 유심 해킹 피해가 발생한 SKT를 시작으로 지난 8월에는 KT에서 무단 소액결제 피해가 발생했다. 통신 3사 모두 해킹 피해에 노출된 것이다.
통신 3사는 지난해 정보보호부문에 총 3000억 원 이상을 투자하며 정보보호 강화에 힘썼지만 올해들어 연달아 보안 허점이 드러났다.
지난 2024년 KT는 정보보호부문에 1250억 원을 투자하며 전년 대비 2.7% 늘렸다. KT는 통신3사 중 가장 많은 금액을 정보보호에 쏟았다.
SKT는 933억 원을 투자하며 7.6% 늘렸고 LG유플러스 역시 828억 원을 투자하며 31.2% 늘렸다.
다만 매출액 대비 정보보호부문 투자액은 0.4~0.5% 수준으로 통신서비스 핵심 인프라를 관리하는 기업 규모에 비해 낮다는 지적이 나온다.
이런 가운데 SKT는 향후 5년간 정보보호부문에 7000억 원을 투자할 예정이며 KT는 1조 원 이상을 투자할 계획이다.
LG유플러스도 향후 5년 동안 약 7000억 원의 투자를 단행할 것으로 전망된다.
각 통신사들은 정보보호부문 투자액만 늘리는 것이 아니라 정보 보호를 강화하기 위한 다양한 대책도 마련하고 있다.
가장 먼저 해킹 사태가 발생했던 SKT는 CISO 조직을 CEO 직속으로 격상한 후 8월 1일자로 통합보안센터를 출범시켰다.
이종현 SKT CISO는 지난 8월 "회사 내부 이동을 통해 통합보안센터에 합류할 비보안 인력을 재교육해 보안 전력화하는 작업도 곧 진행될 것이며 빠른 시일 내에 보안 전문역량을 확보하기 위한 외부 인재 영입도 진행하고 있다"고 밝혔다.
아울러 SKT는 올해 연말까지 정보보호 전문인력을 2배로 늘리고 학위 연계 프로그램을 통해 내부 인재를 육성할 계획이다.
SKT는 정보보호 기금 100억 원을 출연해 국내 정보보호 생태계 활성화에도 적극적으로 나설 예정이다.
향후 '제로 트러스트' 기반 정보보호 체계를 구축하고 ▲철저한 인증·권한 관리 ▲망 세분화 ▲AI기반 통합보안관제 ▲암호화 등 정보보호 수준을 높이기 위해 필요한 다양한 기술적 조치를 이어갈 계획이다.
KT는 ▲AI 모니터링 체계 강화 ▲글로벌 협업 및 진단 컨설팅 확대 ▲제로트러스트 체계 완성 ▲보안전담인력 확충 등 보안 체계를 구축할 방침이다.
글로벌 보안업체와의 협력도 진행한다. 'AI 기반 미래 보안 아키텍처'를 설계하고 세계 최고 수준의 보안전문가와 인력을 확보해 대응체계를 만들 예정이다.
KT는 고유의 보안 프레임워크인 'K-시큐리티 프레임워크'도 운영한다. 이는 내부 보안 이해도를 기반으로 공격자 관점의 침투테스트를 수행하는 'K-오펜스'와 다양한 공격 표면에 대한 기술적·관리적 통합 보안 대응 체계인 'K-디펜스'로 구성된다.
또한 정기적 모의해킹과 취약점 개선활동을 정례화하고 3자 정보보호 점검을 통해 외부 위협요소를 사전에 예방할 계획이다.
LG유플러스는 지난 2023년 7월 CEO 직속 보안전담조직 정보보안센터를 신설한 이후 △보안 거버넌스 △보안 예방 △보안 대응 등 3대 축을 중심으로 보안 체계를 강화하고 있다.
LG유플러스는 지난해 11월부터 블랙박스 모의해킹도 진행하고 있다.
블랙박스 모의해킹은 외부 화이트해커 집단에게 자사 모든 서비스에 대한 해킹을 의뢰해 잠재된 취약점을 발굴하는 방식이다.
LG유플러스가 예상하지 못한 방식으로 해커가 사내망에 접근해 서버를 장악하거나 개인정보, 회사 기밀 등 중요 정보를 빼낼 수 있는지 여부를 파악하는 것이 핵심이다.
아울러 LG유플러스는 누구나 사내의 보안 취약점을 발견해 신고하면 포상금을 지급하는 '버그바운티 제도'를 지난해 하반기부터 실시하고 있다.
아울러 올해에도 정보보호부문에 전년 대비 30% 이상 투자를 확대할 예정이다.
통신사 관계자들은 "해당 계획과 관련해 변동된 사항은 없다"고 설명했다.
[소비자가만드는신문=정은영 기자]
