SK텔레콤 해킹 사고의 순기능으로 이동통신 3사가 앞다퉈 ‘철통 보안’을 핵심 경영 목표로 제시하고 나섰다. 이제 스마트폰 지원금, 멤버십 혜택은 물론 개인정보 보호 역량도 통신사를 선택할 때 필수 옵션으로 자리매김하는 모습이다.

매년 1000억 이상 투자

29일 LG유플러스를 마지막으로 이통 3사 모두 중장기 보안 투자 전략을 발표했다.

LG유플러스는 보안 거버넌스를 책임지는 사내 전담 조직인 정보보안센터에 힘을 싣기 위해 향후 5년간 약 7000억원의 투자를 단행하기로 했다. 지난해 정보보호 분야 투자는 약 828억원으로 전년보다 31.1% 증가했다.

홍관희 LG유플러스 정보보안센터장은 이날 서울 용산 사옥에서 열린 기자간담회에서 “매년 최소 1200억원에서 1500억원 이상을 지속적으로 투자할 것”이라며 “‘제로 트러스트’를 구축하는 데 가장 많이 투입될 것으로 보이고, 다음으로 공격 표면 최소화, 관제·대응과 같은 부분들에 들어갈 예정”이라고 설명했다.

이로써 이통 3사 모두 매년 1000억원 이상은 보안 강화에 쏟게 됐다.

이달 초 해킹 사고를 수습하고 ‘정보보호 혁신안’을 발표한 SK텔레콤도 5년간 7000억원을 투자해 글로벌 최고 수준의 정보보호 체계를 갖추겠다고 약속했다. 국내 정보보호 생태계 활성화를 위해 관련 기금 100억원도 출연하기로 했다. 사이버 침해 기업 보험 한도는 기존 10억원에서 1000억원으로 늘렸다.

KT는 5년간 1조원 이상으로 업계에서 가장 많은 재원을 정보보호에 투입한다. 이를 밑거름 삼아 AI 모니터링 체계 강화, 글로벌 협업 및 진단 컨설팅 확대, 제로 트러스트 체계 완성, 보안 전담 인력 확충 등 4대 정보보호 혁신을 추진한다.

목적지는 '제로 트러스트'

이통 3사는 구성은 조금씩 다르지만, 제로 트러스트라는 공통된 목적지로 향하는 보안 미션을 내놨다. 제로 트러스트는 ‘아무도 신뢰하지 않고 계속 검증한다’는 철학 아래 최소 권한만을 부여하는 보안 원칙을 의미한다.

LG유플러스는 ‘보안 거버넌스’와 ‘보안 예방’, ‘보안 대응’을 3대 축으로 하는 보안 체계를 설계했다.

보안 거버넌스는 독립적 위치의 정보보안센터가 전사 정보보호를 총괄하며 사내 주요 의사결정에 참여하는 방식으로 완성하고 있다. 보안 예방 차원에서는 외부 화이트해커에 해킹을 의뢰해 잠재된 취약점을 발견하는 블랙박스 모의해킹을 내년 상반기까지 연장하기로 했다. 보안 대응은 클라우드로 전환하는 업무 특성에 맞춰 2027년까지 AI로 비정상 접근을 통제하고 이상 행위를 탐지하는 전면 자동화 환경을 마련한다.

SK텔레콤의 정보보호 혁신안은 ‘투자’ ‘기술’ ‘거버넌스’를 3대 축으로 한다. 정보보호 전문 인력은 2배로 확대하고, 정보보호최고책임자(CISO) 조직은 CEO 직속으로 격상해 책임과 역할을 강화했다.

SK텔레콤 관계자는 “철저한 인증·권한 관리, 망 세분화, AI 기반 통합 보안 관제, 암호화 등 정보보호 수준을 높이기 위해 필요한 다양한 기술적 조치를 이어갈 계획”이라고 전했다.

KT는 보안 프레임워크인 ‘K시큐리티 프레임워크’를 운영한다. 공격자 관점에서 침투 테스트를 하는 ‘K오펜스’와 다양한 공격 표면의 기술적·관리적 통합 보안 대응 체계인 ‘K디펜스’로 구성했다. 단순한 방어가 아닌 예측하고 차단하는 막을 수 있는 보안을 실현한다.

이처럼 이통 3사가 수익성과 직접 연관이 없어 그간 차순위로 미뤄왔던 보안 체계를 대대적으로 개편한 것은 SK텔레콤 해킹 사고를 계기로 달라진 가입자들의 보안 인식이 작용했기 때문으로 분석된다.

리서치 전문 기관 컨슈머인사이트가 가입자들을 대상으로 ‘통신사 전환 의향’을 조사한 결과 ‘있다’는 응답이 3사 평균 지난 4월 17%에서, SK텔레콤 해킹 논란이 확산한 5월 중순 28%로 늘었다. 같은 기간 SK텔레콤은 11%에서 34%로 3배가 뛰었다.

다만 외부 위협으로 고객을 온전히 보호하기 위해서는 정부 차원의 규제 완화가 함께 이뤄져야 한다는 게 업계의 입장이다.

홍관희 LG유플러스 정보보안센터장은 “규제가 필요한 영역도 있고 과한 부분도 있다”며 “정보보호 투자 공시 제도 강화의 경우 어느 영역에 얼마를 썼는지, 어떤 투자를 보안 투자로 볼 수 있는지에 대한 기준이 확립됐으면 한다”고 말했다.