⁠⁠⁠⁠⁠⁠⁠

서울 강남구의 한 휴대폰 매장 모습.

SK텔레콤 서버 해킹 사태와 관련해 정보보호 투자가 미흡했다는 지적이 나오는 가운데 정보보호 전담 인력은 통신 3사 중 가장 많은 것으로 나타났다. 다만 외주에 의존하는 구조적 취약성과 내부 보안 거버넌스 체계 미비가 초기 대응 미숙 원인으로 꼽힌다.

25일 한국인터넷진흥원(KISA) 정보보호 공시 종합 포털에 따르면 SK텔레콤의 유무선 사업 정보보호 전담인력은 SK브로드밴드를 포함해 343.3명으로 집계됐다. 이는 동일하게 유무선 사업을 영위하는 KT의 336.6명, LG유플러스의 157.5명보다 많은 규모다.

회사 정보기술부문 인력 중 정보보호 전담인력이 차지하는 비중도 SK텔레콤·SK브로드밴드는 6.3%, KT는 5.6%, LG유플러스는 3.2%로 집계됐다. 이번 사태가 보안 전문인력 부족에 따른 허점으로 보기는 어렵다는 의미다.

다만 정보보호 투자액의 경우 SK텔레콤·SK브로드밴드가 867억원으로, KT 1218억원보다 낮았다. 이는 인력 구조면에서 양사가 차이를 보이기 때문이다.

SK텔레콤의 경우 정보보호 전담인력 중 외부인력이 268.2명으로 전체의 78.1%를 차지한다. 회사 측은 “외부 전문 보안업체 리소스를 주로 이용하고 있다”고 설명했다. 반면 KT는 외주 비중이 33.5%에 그친다. 내부에 정보보안단을 독립조직으로 꾸리는 등 자체 인력을 강화한 영향이다.

정보보호 투자액에는 전문인력 인건비와 보안 솔루션 비용, 물리적 보안장비 구비 비용 등이 포함된다. SK텔레콤은 내주보다 외주 전문업체에 소싱을 맡기는 구조로 비용을 효율화한 것이다. 보안 자회사 SK쉴더스에서 인력을 파견받는 것도 영향을 미쳤다. 다만 이번 사고와 관련한 용역 업무에 계열사는 포함되지 않았다.

보안업계에서는 외주 비중이 높다고 보안 역량이 낮다고 볼 수는 없지만 비상상황시 긴급 대응과 보고체계 측면에서 약점으로 작용할 수 있다고 설명한다. 특히 이번 유심 해킹 사태에서는 늑장 신고 등 초기 대응 미숙이 도마 위에 올랐다.

보안 거버너스 측면에서도 경쟁사에 뒤쳐진다. KT와 LG유플러스는 정보보안단과 정보보안센터가 독립조직으로 정보보호 컨트롤타워 역할을 하고 있다. 반면 SK텔레콤 정보보호실은 AT·DT센터 산하 5개실 중 하나에 불과하다.

KT는 정보보안단장을 맡고 있는 황태선 정보보호최고책임자(CISO)가 김영섭 대표에게 매월 보안 현황과 이슈를 직접 보고하는 체계를 갖췄다. 이번 사태 이후에는 주간보고로 격상했다. LG유플러스도 최고경영자(CEO) 직속조직인 정보보안센터에서 매주 직접 보고하고 있다.

SK텔레콤은 CISO 주관으로 정보보호위원회를 운영하지만 IT부서 산하 실무조직에 편제돼 있어 CEO에 직보하는 체계를 갖추지 못했다. 권한과 책임이 분산돼 있어 보안 의사결정 과정에서 대응력이 취약할 수밖에 없다.

업계 관계자는 “보안 전문가가 경영진 일환으로 참여하는 등 거버넌스 측면에서 사이버 보안 리스크 관리 체계를 마련하는 것이 중요하다”고 짚었다. 정부도 사태 재발 방지를 위해 정보보호 투자 강화 등 제도적 보완책 마련에 나선다는 방침이다.

박준호 기자 junho@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.