연합뉴스초유의 SK텔레콤 유심 해킹 사태가 발생하자 발등에 불이 떨어진 통신업계가 보안 투자에 열을 올리고 있다. 국내 통신 3사가 밝힌 정보보호 투자 예정 금액만 2조에 달한다.
뒤늦게라도 정보보호 투자 확대에 나선 점은 긍정적이지만, 해외 주요 선진국과 비교하면 더 늘려야 한다는 지적도 나온다.
SKT 대규모 이탈…통신 3사 '보안 경쟁' 치열
지난 4월 서울 시내 한 SKT 대리점에서 유심 교체를 하기 위한 이용자들이 줄을 서 기다리고 있다. 류영주 기자
19일 통신업계에 따르면, 국내 통신3사는 최근 경쟁하듯 정보보호 분야 투자를 확대하고 있다.
가장 큰 금액을 투자하겠다고 밝힌 곳은 KT다. KT는 15일 '고객 안전·안심 간담회'를 열고 향후 5년 동안 누적 1조원 이상을 정보보호에 투자하겠다고 전격 발표했다. 구체적으로 △글로벌 협업(200억원) △제로 트러스트, 모니터링 강화(3400억원) △보안인력 충원(500억원) △현행 정보보호 공시 수준 점진적 개선(6600억원) 등에 투자할 계획이다. 지난해 KT의 정보보호 투자 금액은 약 1250억원으로, 향후 5년간 해마다 약 800억 가까이 추가 투자하는 셈이다.
유심 해킹 사태가 발생했던 SK텔레콤도 지난 4일 향후 5년간 7천억원을 정보보호에 투자하겠다는 혁신안을 냈다. 구체적으로 보안 인재 영입을 확대하고, 내부 전담 인력을 대폭 늘리는 등 인력을 기존 대비 2배 규모로 강화한다는 계획이다. 또한 100억 원 규모의 정보보호 기금을 출연해 국내 정보보호 생태계 활성화에도 나서겠다고 밝혔다.
지난 2023년 초 해킹 사고가 발생한 LG유플러스도 연간 1천억 원 규모의 정보보호 투자 계획을 밝혔다. 또한 경영진 중심의 보안 거버넌스 체계를 도입해 CEO가 매월 직접 '정보보호 세션'을 운영한다.
이같은 통신 3사의 보안 경쟁은 최근 SKT 해킹 사태 때문으로 보인다. SKT에서 대규모 이탈 고객이 발생하자 이들을 잡기 위한 '안심 마케팅'에 나섰다는 분석이다. 통신업계에 따르면, 해킹 사고가 발생한 4월부터 이번달 14일까지 SKT 해지한 번호이동 가입자는 약 83만명에 달하는 것으로 조사됐다. KT 황태선 정보보안실장은 이번 투자 확대 배경이 SKT 해킹 사태 때문이냐는 취재진 질문에 "글로벌 해킹 피해를 고려할 때 피해 예방 목적으로 투자하는 것이 전략적으로 효과적이라고 판단했다"고 설명했다.
"AI 투자 확대하고 정보보호 소홀"…구체적 항목 공개 필요성도
연합뉴스통신 3사의 각축전에도 정보보호 투자액이 매출액 대비 낮은 수준이라는 지적이 나온다.
9일 기업데이터연구소 'CEO스코어'가 정보보호 공시 종합 포털에 공시한 투자 현황을 분석한 결과, KT·SK텔레콤(SK브로드밴드 포함)·LG유플러스의 정보보호부문 투자액은 각각 약 1250억, 933억, 828억으로 집계됐다. 전체 정보기술 부문 투자액 대비 투자액 비율로 계산하면 KT 6.3%, SK텔레콤 4.4%, LG유플러스 7.4%다.
최근 투자 계획을 발표하기 전 통계지만, 통신 3사 투자액 비중이 정부 권장 기준인 5%를 겨우 넘거나 미치지 못한 수준이다. 업계에서는 통신사가 보유한 고객 정보의 파급력과 중요성을 고려하면 투자를 대폭 확대해야 한다는 목소리가 나온다. 특히 SKT의 경우 정부 권장 수준보다 낮은 데다, 같은해 광고선전비로 정보보호 투자액(933억)을 훌쩍 뛰어넘는 1367억을 집행해 빈축을 사기도 했다.
해외 주요 국가와 비교해도 정보보호 투자액 비중은 낮은 편이다. 글로벌 보험사 히스콕스의 '사이버 보안 현황 보고서'에 따르면, 미국 기업들의 정보기술 투자액 중 정보보호 투자 비중은 2023년 기준 평균 26%로 국내 통신 3사의 3~5배 수준이다. 독일(24%)·영국(23%)·프랑스(22%) 등과 비교해도 한참 낮은 수준이다.
이와 관련해 CEO스코어는 "인공지능(AI) 시대를 맞아 주요 기업들이 AI, 로봇, 빅데이터 등 정보기술 투자는 꾸준히 확대하고 있지만 필수 요건인 정보보호 투자에는 소홀한 것으로 평가된다"고 설명했다.
대규모 투자 금액 발표도 중요하지만, 구체적인 투자 항목도 공개해야 한다는 지적도 나온다. 중앙대학교 장항배 산업보안학과 교수는 CBS노컷뉴스와의 통화에서 "선언적인 투자 금액 발표보다는 실질적인 보안 강화에 도움이 되는 예산 집행이 중요하다"며 "단순 CC(폐쇄회로)TV 추가 설치나 인건비 증가 등의 투자는 엄밀히 말하면 정보 보호에 큰 도움이 된다고 보기 힘들다"고 지적했다.
그러면서 "이벤트성 투자보다는 투자의 구체적인 기준과 상세한 항목을 공개해야 정보 보호의 내실을 챙길 수 있을 것으로 보인다"고 강조했다.