[비즈한국] SK텔레콤 정보 유출 사태를 비롯해 최근 기업들이 잇따라 해킹 피해를 입으면서 국내 산업 전반의 보안 취약성 문제가 여실히 드러났다. 올해 들어서만 GS리테일, 잡코리아, SK텔레콤, CJ올리브네트웍스 등이 대규모 개인정보 유출 사고를 겪었다. 클라우드, 단말기, 랜섬웨어부터 SK텔레콤의 HSS(홈 가입자 서버) 해킹까지 공격 방식이 진화하며 기업들이 직면한 위험 요소도 다양해졌다는 평가다.
방대한 개인정보와 민감 데이터, 국가 인프라와 직결된 정보를 다루는 기업의 경우 더욱 높은 수준의 책임이 요구된다. 이들 기업의 보안 체계에 발생한 허점은 사회 전반의 리스크로 이어질 수 있어서다. 통신3사와 네이버, 카카오, 네트워크 3사 등 주요 ICT(정보통신기술) 기업의 정보보호 의무공시 자료를 분석해 정보보안 투자 현황과 대응 전략을 짚어봤다.
#해킹 위험 ‘상존’…ICT업계 정보보호에 얼마나 쓰나
정보 유출 사고가 잇따르며 민간의 사이버 보안 대응 역량이 도마에 오른 가운데 국내 기업들은 전체 정보기술(IT) 투자 중 정보보호에 약 6%만 할애하고 있는 것으로 나타났다. 정보보호 의무 공시 시행 3년간 기업들의 IT 투자 대비 정보보호 투자 비중 평균치는 6.1%대에 머물렀다. 주요 ICT 기업 8개사가 한국인터넷진흥원에 공시한 정보보호 현황 자료를 분석한 결과 NHN클라우드(7.1%)와 LG유플러스(6.6%), KT(6.4%)가 정보보호투자 비중이 국내 평균보다 높았다. 이어 △네이버클라우드(5.7%) △KT클라우드(5.2%) △SK텔레콤(4.1%·SK브로드밴드 4.6%) △카카오(3.9%) △네이버(3.7%) 순이었다.
이 지표는 보안을 얼마나 우선순위로 다루고 있는지를 보여준다. 디지털 인프라가 커질수록 보안 취약 지점도 함께 늘어나게 되는데, 이때 IT 시스템의 규모나 복잡성에 비례해 보안 투자도 증가해야 위험을 효과적으로 통제할 수 있다. 평균치로 따져보면 미국의 절반 수준이다. 미국 사이버보안 컨설팅 기관 IANS 리서치의 지난해 보고서에 따르면 미국 기업의 정보보호투자 비중은 평균 13.2%로, 2020년 8.6%에서 꾸준히 증가하고 있다.
지난해 공시에 따르면 2023년 기준 매출 대비 정보보호 투자 비중은 클라우드사를 제외한 대상 기업 모두 0%대에 그쳤다. 클라우드 3사의 경우 △NHN클라우드 4.50% △네이버클라우드 2.48% △KT클라우드 1.64%로 나타났다. SK텔레콤, KT, LG유플러스 등 통신3사는 0.44~0.49%, 네이버와 카카오는 각각 0.43%, 0.34%였다. SK텔레콤은 유선 사업을 분리해 운영하고 있는 SK브로드밴드의 투자액을 반영했다.
통신사와 양 대 IT 기업의 정보보호 투자 비중은 영업이익과 견줘도 10%를 넘지 않았다. 업종별로 보면 통신업계에서 영업이익 대비 정보보호 투자 비중은 △SK텔레콤 8.69% △KT 7.38% △LG유플러스 3.60%이었다. 카카오는 정보보호 투자액 규모로는 네이버의 61% 수준이었지만 영업이익 대비 정보보호 투자 비중은 5.11%로, 네이버보다 높았다.
클라우드 3사는 영업이익 대비 정보보호 투자 비중을 높게 운영하고 있는 것으로 나타났다. 2023년 기준 네이버클라우드는 영업이익의 3배 이상을 정보보호 부문에 투입했다. NHN은 284억 원의 적자에도 63억 원을 투자했고 442억 원의 흑자를 낸 KT클라우드(25.19%)의 경우 같은 해에 111억 3300만 원을 정보보호 부문에 썼다. 클라우드 서비스는 다수의 고객 데이터를 저장하고 처리하기 때문에 데이터 유출이나 서비스 중단과 같은 보안 사고 발생 시 막대한 피해를 야기할 수 있어 정보보호 체계와 전문 인력 확보에 적극적인 투자가 요구된다. 초기 인프라 구축에 상당한 투자가 필요한 것과 다른 기업과 비교해 상대적으로 영업이익 규모가 작은 영향도 있다.
#외양간 고치는 기업들 ‘안일한 태도’ 어쩌나
“IT 전담 영역으로만 생각했다.”
“보안 문제가 아니라 국방이라고 생각해야 될 상황으로 보인다.”
최태원 SK그룹 회장은 지난 7일 서울 중구 을지로 사옥에서 대국민 사과 발표 후 이어진 질의응답 시간에 이 같이 말했다. 개인적인 심경을 묻는 질문에 대한 답변이었다. 최 회장은 “지금까지 보안을 정보통신 부문만의 영역이라 생각하고 전담팀에만 의지했다”며 “이 사건으로 보안이 그룹 전반에 얼마나 중요한지 통감했고 앞으로 투자를 늘리겠다”고 다짐했다. 보안의 중요성을 이제야 상기하는 총수의 모습은 유출 사태 수습에 분주한 회사나 국민 정서와는 다소 괴리가 있음이 드러났다.
대규모 정보 유출 사태에서 SK텔레콤은 3사 중 가장 적게 정보보호 투자를 해왔다는 점에서 비판을 샀다. 지난해 SK텔레콤이 공시한 투자 집행 규모는 통신3사 가운데 최하위(600억 원)였다. LG유플러스가 집행한 632억 원에 못 미쳤고, 유선 사업을 분리해 담당하는 SK브로드밴드(267억 원)와 합산해도 867억 원으로 유·무선 사업을 영위하는 KT(1217억 원)보다 낮았다.
SK텔레콤은 그룹 차원에서 사이버 보안 체계를 전면 강화하겠다는 계획이다. 그룹의 정보보호 체계를 끌어올리기 위해 ‘정보보호혁신특별위원회’를 신설하고, 그룹 최고 의사협의기구인 수펙스추구협의회 산하 아홉 번째 위원회로 배치한다. 독립성과 전문성을 높이기 위해 학계와 산업계 외부 전문가들이 참여한다.
KT와 LG유플러스도 보안망이 뚫린 해킹 사고 이후 정보보호 투자액 확대 등 재정비를 추진한 바 있다. 전문가들은 보안 리스크가 사업에 미치는 영향을 합리적으로 판단해야 할 필요가 있다고 지적했다. 위원회에 외부 전문가로 참여하는 권헌영 고려대 정보보호대학원 교수는 “한국은 법원이 인정하는 손해배상액이 굉장히 적고 피해 입증도 피해자에게 지운다. 기업이 정보보호 투자에 소홀한 것은 구체적이고 명확한 책임을 지지 않기 때문”이라며 “유출 사태 이후 투자 강화 등 사후 조치 계획을 내놓고 있는 만큼 획기적인 개선으로 이어져야 한다”고 짚었다.
전창배 IAAE 국제인공지능윤리협회 이사장은 “보안은 투자한 대로 결과가 나온다. 현재는 절대적인 수치가 부족하다고 본다”며 “통신3사 포함 대상 기업들 대다수가 AI로의 전환을 이야기하는 기업이다. 향후 중대한 문제가 될 AI 보안과 관련해서 투자가 제대로 이뤄지고 있는지 의문이 남는다. 선제적인 고려가 필요하다”고 강조했다.
강은경 기자
gong@bizhankook.com[핫클릭]
·
[단독] 문보국 에어프레미아 전 대표, 모회사 AP홀딩스도 떠나…김정규 회장 체제로
·
코레일유통 '스토리웨이' 가맹사업 뒤늦은 철수, 알고보니…
·
[단독][중대재해처벌법 3년] 지난해 10대 건설사 사고재해자, 최근 5년 새 '최고치'
·
BNK금융지주 1분기 실적 부진…지방경제 활성화가 관건
·
"차별화 지점 알겠는데 과연 먹힐까" 카카오 만든 AI 앱 '카나나' 써보니…
![[한국미술응원프로젝트 시즌11] 김보민-삶의 이중적 구조를 담은 공간](/images/common/list01_guide.png)