연간매출 중 정보보호 투자액 0.3%~0.4%대
이중 중대성 평가서 보안 순위 밀리거나 축소
AI 등 기술 발전하며 해킹 수법도 고도화하나
대응 체계 마련 ‘소 잃고 외양간 고치기’ 반복
투자 확대 필요성…“최신 동향 선제 대비해야”
▲해커가 사이버 공격을 통해 개인정보를 탈취하는 모습.
최근 4년 동안 통신 3사의 정보보호 투자 비중이 1%도 채 되지 않는 것으로 파악됐다. 기업 경영의 우선순위를 선별하는 이중 중대성 평가 순위에서도 보안 이슈가 밀리거나 축소되는 등 관련 투자에 소극적이란 지적이다. 통신업계의 개인정보 유출 사고가 반복되면서 고객 불안이 커지는 가운데 해킹 수법이 고도화하고 있어 보안에 대한 적극 대응이 요구된다.
정보보호 투자액 비중 연간매출 0.4%대 차지…1% 밑돌아
▲통신 3사 연간 매출액 대비 정보보호 투자액 비중. 그래픽=김베티 기자
23일 한국인터넷진흥원(KISA)의 '정보보호 공시 종합 포털'과 SK텔레콤·KT·LG유플러스 등 통신 3사의 사업보고서에 따르면, 2021년부터 2024년까지 약 4년 동안 이들의 연간매출 중 정보보호 투자액이 차지하는 비중은 최소 0.33%에서 최대 0.46%로 파악된다.
SKT는 2021년 0.33%에서 2022년 0.36%로 늘었다가 2023년 0.31%로 급감했다. 이 기간 정보보호 투자액은 627억원에서 550억원으로 12.28% 줄었다. 지난해 550억원으로 다시 늘리며 매출액 차지 비중도 0.33%로 회복했지만, 통신 3사 중 투자 규모가 가장 낮다.
KT와 LGU+는 SKT와 달리 투자 규모를 꾸준히 늘려왔다. 과거 해킹 공격으로 수십만 건 이상의 고객 개인정보가 유출된 전적이 있는 탓이다. KT는 2012년 830만명에 달하는 개인정보가 유출됐고, LG유플러스는 2023년 약 30만명의 개인정보 유출 사고가 발생했다.
그러나 양사의 투자 비중은 연간매출의 1%를 밑돌았다. LGU+는 2021년 0.16%에서 2024년 0.43%로 2배 이상 늘었다. 재발 방지를 위해 투자 규모를 공격적으로 기존 대비 3배 이상 늘리겠다고 선언한 데 따른 것으로 분석된다. 같은 기간 KT는 0.39%에서 0.46%로 상승했다. 지난해 정보보호 투자액은 1228억원으로 3사 중 가장 높다.
다만 KISA의 정보보호 공시는 유·무선 사업의 분리 여부가 반영되지 않은 수치다. 유선사업을 담당하는 SK브로드밴드(SKB)에 대한 정보보호 투자액을 합치면 △2020년 753억원 △2021년 861억원 △2022년 787억원 △2023년 867억원으로 투자 규모는 3사 중 두 번째가 된다.
이에 대해 SKT 관계자는 “KT·LGU+는 유·무선 사업을 모두 담당하지만, SKT는 무선사업만 담당하고 있다"며 “유선사업인 SKB에 대한 정보보호 투자액을 합쳐서 봐야 한다"고 설명했다.
AI·네트워크 이슈 우선순위 자리매김…보안 이슈 밀리거나 비중 축소
▲SK텔레콤·KT·LG유플러스(왼쪽부터)가 2023년~2024년 사이 발간한 지속가능경영보고서에 수록된 '이중 중대성 평가' 순위. SK텔레콤의 경우 '서비스 품질 관리 및 책임'에 보안 관련 이슈가 통합됐다. 캡처=이태민 기자
통신 3사의 정보보호 투자 비중이 1%대를 밑도는 건 신사업의 중요도가 높아지면서 보안 이슈가 이중 중대성 평가 순위에서 밀린 영향으로 풀이된다.
이중 중대성 평가는 기업 활동으로 발생한 이슈가 사회·환경뿐 아니라 재무적으로 어떤 영향을 미칠지 포괄적으로 살펴 그 해 경영에 가장 중요한 주제를 선정하는 작업이다. 특히 개인정보 보호 등 보안 이슈의 경우 고객 피해로 직결되는 만큼 중대 사안으로 꼽힌다.
통신 3사의 2020년~2023년 지속가능경영보고서를 살펴보면, LGU+를 제외하고 보안 이슈가 후순위로 밀리거나 비중이 줄어든 것으로 파악된다.
SKT의 경우 2022년까지 보안 이슈를 △개인정보 보호 △개인정보 관리 강화 등 별도 항목으로 3순위에 올려 왔으나, 2023년엔 신규 편입된 '서비스 품질 관리 및 책임'에 통합한 모습이다. 이는 △시스템 안정성 확보 △재난·안전사고 예방 시스템 구축 △유무선 네트워크 서비스 품질 제고 등을 포괄한다.
이 기간 함께 편입된 신규 이슈로는 △AI 기반 기술 및 서비스 혁신 △지배구조 건전성 및 투명성 강화 △자원순환 체계 강화 △상생협력 활동 강화 △네트워크 퀄리티 향상 등이 있다. AI 사업의 본격화와 함께 기후 온난화 대응 체계 구축에 대한 중요도가 높아졌고, 동시에 5세대 이동통신(5G) 품질에 대한 문제 제기가 이어져옴에 따라 우선순위로 배치된 것으로 분석된다.
같은 기간 KT는 보안 관련 이슈를 2020년 2순위에서 2021년 4순위, 2022년 10순위, 2023년 8순위로 배치했다. SKT와 유사하게 △네트워크 안정성 확보 △디지털 플랫폼 기업전환을 통한 경쟁력 강화 △미래 기술 기반 기업 경쟁력 강화 △AI 혁신을 통한 기업경쟁력 강화 △기후변화 대응 등이 핵심 이슈로 부상했다. LGU+는 2022년 보안 이슈를 5순위에 배치했다가 사고 이후인 2023년에는 2순위로 올렸다.
'무사고 10년' 안일함이 사고 초래…고도화된 해킹 수법 선제 대응해야
▲23일 SK텔레콤 홈페이지에 게재된 유심 정보 유출 관련 사과문.
결론적으로 지난 19일 발생한 SKT의 고객 유심(USIM) 정보 유출 사고는 정보보호 투자 규모를 축소해온 데 따른 결과라는 게 업계 중론이다. 최근 10년 동안 해킹 공격으로 인한 피해 사례가 발생하지 않은 데서 비롯된 안일함이 영향을 미쳤다는 것이다.
유심은 모바일 기기에 꽂아 쓰는 작은 칩으로, 통신 가입자를 네트워크에서 식별·인증하는 역할을 한다. 휴대전화번호 및 통신 서비스 이용 권한 등 정보를 담고 있다. 현재까지 구체적인 피해 규모나 개인정보 악용 사례는 확인되지 않았지만, 일각에선 탈취자가 가입자의 유심을 무단 복제하거나 바꿔치기한 뒤 가상자산 등을 털어가는 '심 스와핑'이 발생할 수 있다는 우려도 나온다. SKT는 이에 대한 우려를 덜 수 있도록 '유심보호서비스' 안내에 적극 나선다는 계획이다.
특히 최근엔 AI·클라우드 등 기술 발전에 따라 고도화된 해킹 수법이 나타나고 있는 만큼 관련 투자 확대 및 위험 관리 체계 정교성 향상 필요성이 커질 전망이다. 보안업계 한 관계자는 “통신사는 보안 수준이 높은 축에 속하는데, 이를 뚫었다는 점에서 고도화된 기술이 악용됐을 가능성이 있다"며 “'소 잃고 외양간 고치기' 식으로 사고 발생 후 대응 체계를 마련하는 상황이 반복되고 있는데 선제적으로 투자 규모를 늘려 최신 동향에 지속 대비할 필요가 있다"고 말했다.
;){kind=link}