[뉴스토마토 이지은 기자] 광범위하고 민감한 개인정보를 보유하고 있는 통신사의 해킹 사고가 수년에 걸쳐 발생하면서 정보보호 투자를 확대해야 한다는 목소리가 커지고 있습니다. 투자 예산과 담당 인력의 최소 기준을 명확히 해 사실상 투자를 강제하자는 취지입니다. 국회가 법 개정 필요성을 제기한 가운데 당국도 정책 개선을 위한 의견 청취에 돌입했습니다.
2024년 공시된 통신3사의 정보보호 투자는 정보기술(IT) 투자대비 4~6% 수준에 그쳤습니다.
SK텔레콤(017670)은 600억원으로 IT 투자 1조4664억원 대비 4.1%로 통신3사 중 제일 낮았습니다. SK텔레콤보다 높은
LG유플러스(032640)와
KT(030200)는 각각 632억원, 1218억원을 정보보호에 투자했는데요. 이 역시 IT 투자액의 6.6%, 6.4%에 불과한 수준입니다.
SK텔레콤보다 타사의 정보보호 투자 금액이 높았던 것은 일찍이 발생한 해킹사고에 따른 영향입니다. KT는 2012년과 2014년 두 차례에 걸쳐 해킹 사고가 발생했고, LG유플러스는 2023년 29만건의 고객 정보가 유출됐습니다. KT는 2017년 4.41%에 그쳤던 정보보호 투자 비율을 수년에 걸쳐 확대하며 6%로 올렸습니다. LG유플러스도 3%에 불과했지만, 해킹 사고 직후 투자를 확대하며 6%대에 도달했습니다.
통신3사 사옥, 왼쪽부터 SK텔레콤, KT, LG유플러스. (사진=각사)
SK텔레콤도 정보보호 투자를 늘리는 방안으로 점검하고 있습니다. 이 일환으로 민관합동조사단과 별개로 화이트해커 집단과 함께 자체적 망 진단을 진행 중입니다. 류정환 SK텔레콤 네트워크인프라센터장은 22일 열린 일일브리핑에서 "정보보호 투자를 늘려야 한다는 생각으로 망 진단과 함께 어느 규모로 할 것인지 시뮬레이션하고 있다"며 "진단 결과에 따라 중장기적으로 얼마를 투자할지 결정될 전망"이라고 말했습니다. 김희섭 SK텔레콤 PR센터장도 "그룹 차원에서 정보보호 수준을 끌어올리는 것을 논의 중이고, SK텔레콤은 글로벌 보안 수준 체계를 갖추겠다는 것이 내부 방침"이라며 "지금보다 (투자규모는) 늘어날 것"이라고 덧붙였습니다.
(왼쪽부터)김희섭 PR센터장, 임봉호 MNO사업부장, 류정환 센터장이 22일 SK텔레콤 일일브리핑에서 질문에 답변하고 있다. (사진=뉴스토마토)
이 같은 사업자들의 자구적 노력에도 정보보호 투자를 더욱 확대해야 한다는 목소리가 커지는 중입니다. 국회와 당국은 투자 최소 기준을 부여해야 한다는 의견을 내놓고 있습니다. 국회입법조사처는 "정보통신망법을 개정해 정보보호 예산이 IT 부문 예산의 일정 비율 이상이 되도록 명시하는 방안을 고려해 볼 수 있다"고 제언했습니다. 현행 정보통신망법은 제45조 3항에 정보보호 최고책임자 지정하는 내용 등만 담겨있습니다.
개인정보위는 개인정보 보호 분야 투자 기준 마련을 추진 중입니다. 대규모 정보처리자의 경우 기관 내 개인정보보호책임자(CPO)를 제외하고 최소 1명 이상의 개인정보 보호 전담 인력을 배치하도록 하는 한편, 전체 IT 인력의 최소 10%를 개인정보 보호 담당인력으로 배정하는 인력안과 함께 2027년까지 전체 IT 예산의 최소 10%를 정보보호 예산으로 확대하는 안을 고안 중입니다. 미국 기업이 2021~2023년 IT 예산 중 정보보호 투자 비율이 10.5%인 점을 감안한 수치입니다. 개인정보위는 "의견 수렴을 거쳐 다음달 확정할 계획"이라고 설명했습니다.
과학기술정보통신부도 국내 주요 보안기업과 통신·금융·미디어의 최고정보보안책임자(CISO), 학계 전문가들과 함께 보안 투자 확대 방안 모색에 나섰습니다. 류제명 과기정통부 네트워크정책실장은 "이번 SK텔레콤 침해사고를 계기로 국내 기관과 기업이 보안투자를 대폭 확대하고, 그 결과가 보안업계의 탄탄한 성장으로 선순환된다면 우리나라 전체 보안수준이 높아지고, 산업경쟁력도 강화할 것"이라며 "각계 전문가의 의견을 경청해 제도·정책 개선에 나서겠다"고 말했습니다.
이지은 기자 jieunee@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지