수천억 쏟아붓는 이통사, 해킹 근절 가능할까? 전문가들이 말하는 보안의 민낯
2025년 SK텔레콤 해킹 사태와 연이은 KT의 소액결제 해킹 사고는 우리 사회의 디지털 안전망에 대한 근본적인 의문을 던졌습니다. 연일 터지는 보안 사고에 고객들의 불신이 커지자, 국내 이동통신 3사는 저마다 수천억 원에서 최대 1조 원에 달하는 대규모 보안 투자 계획을 발표했습니다. 막대한 자본 투입과 함께 새로운 보안 기술을 도입하겠다고 약속했지만, 과연 이러한 노력이 해킹의 악순환을 끊고 고객 정보 보호의 신뢰를 회복할 수 있을까요? 이 글에서는 통신 3사의 보안 투자 계획을 상세히 분석하고, 전문가들이 지적하는 근본적인 한계점을 짚어봅니다.
🛡️ 통신 3사의 '보안 투자' 계획, 무엇이 달라졌나?
통신 3사는 최근의 보안 사고들을 '통렬하게 반성'하며, 단순한 임시방편을 넘어선 근본적인 보안 체계 강화를 약속했습니다. 각 사의 구체적인 투자 내용을 살펴보면, 기술적·조직적 측면에서 대대적인 변화를 꾀하고 있음을 알 수 있습니다.
SK텔레콤: '제로 트러스트' 혁신안
SK텔레콤은 향후 5년간 약 7,000억 원을 투입하는 '정보보호혁신안'을 발표했습니다. 이 혁신안의 핵심은 '제로 트러스트(Zero Trust)' 보안 모델입니다. '절대 누구도 믿지 않는다'는 원칙 아래, 내부 네트워크 접속이라도 엄격하게 인증하고 권한을 관리하며, 모든 트래픽을 감시하겠다는 것입니다. 또한, 책임 경영을 강화하기 위해 최고정보보호책임자(CISO) 조직을 CEO 직속으로 격상하고, 전문 인력으로 구성된 통합보안센터를 출범시켜 조직 차원의 대응 역량을 강화했습니다. 글로벌 화이트 해커들과 정기적인 모의 해킹을 진행하여 실제 공격에 앞서 취약점을 선제적으로 점검하겠다는 계획도 포함되어 있습니다.
KT: 'K-시큐리티 프레임워크' 기반 1조 원 투자
KT는 5년간 정보보호 분야에 1조 원 이상을 투자하겠다고 밝혔습니다. 자체 개발한 'K-시큐리티 프레임워크'를 기반으로 한 독자적인 보안 시스템을 구축하며, 공격자 시각의 'K-오펜스'와 방어 체계인 'K-디펜스'를 결합하여 실전 같은 훈련을 반복할 예정입니다. 특히 AI 기반의 미래 보안 아키텍처를 설계하고, KT만의 상시 통합 네트워크 관제 인프라를 기반으로 한 통합 사이버 보안센터를 운영하여 공격을 예측하고 방어하는 시스템을 구축하겠다는 구상입니다. KT 정보보안실장은 이번 투자금액이 '장기적인 보안 체계 강화'를 위한 것이며, 모바일 분야의 투자 우선순위를 조정하여 문제를 개선하겠다고 강조했습니다.
LG유플러스: AI 기반 모니터링 및 인력 확대
LG유플러스도 보안 영역에 향후 5년간 약 7,000억 원을 투자할 계획입니다. 가장 큰 투자가 이루어지는 영역은 AI 기반의 보안 관제 및 모니터링 고도화 분야로, 실시간으로 이상 징후를 탐지하고 대응하는 시스템을 구축하는 데 집중합니다. 또한, '블랙박스 모의 해킹'을 통해 외부 화이트 해커에게 모든 서비스의 잠재적 취약점 발굴을 의뢰하는 등 적극적으로 보안 허점을 찾아 나서는 모습입니다. 정보보호 전담 인력도 지난해 기준 292.9명으로 전년 대비 86% 증가하는 등, 인력 확충에도 힘쓰고 있습니다.
📉 통신 3사 보안 투자 계획 요약
| 이동통신사 | 5년간 투자 규모 | 주요 보안 계획 |
|---|---|---|
| SK텔레콤 | 약 7,000억 원 | 제로 트러스트, CISO 조직 격상, 통합보안센터 출범 |
| KT | 1조 원 이상 | K-시큐리티 프레임워크, K-오펜스/디펜스, 통합 사이버 보안센터 |
| LG유플러스 | 약 7,000억 원 | AI 기반 보안 관제, 블랙박스 모의 해킹, 정보보호 인력 확대 |
🚨 전문가들의 경고: '사후약방문'에 그칠 수 있다
이통 3사의 대규모 투자 발표에도 불구하고, 정보보호 전문가들은 이러한 조치가 '사후약방문'에 그칠 수 있다고 경고합니다. 즉, 해킹 문제가 터진 뒤에야 급하게 대응하는 방식으로는 점점 더 진화하는 해킹 공격을 막기 어렵다는 지적입니다.
실제로 통신 3사는 SK텔레콤 해킹 사태 직후 이상거래탐지시스템(FDS) 강화를 선언했고, 최근 소액결제 해킹 사태가 터지자 초소형 기지국 신규 접속을 제한하는 등 사고 발생 이후에야 임시방편적인 조치들을 내놓고 있습니다. 이러한 '땜질 처방'은 문제의 근본 원인을 해결하기보다 당장의 위기를 모면하는 데 초점을 맞추고 있다는 비판을 피하기 어렵습니다.
"대응 수준이 공격 수준에 미치지 못해 계속 뚫리고 있는 것입니다. 전문 인력과 예산 확보를 기반으로 보안 거버넌스, 기술, 관리, 조직적 보호 대책 수립과 운영에 근본적인 개선이 필요합니다."
— 염흥열 순천향대 정보보호학과 명예교수
염 교수의 지적처럼, 단순히 돈을 쏟아붓는 것만으로는 부족합니다. 공격보다 한발 앞선 방어 체계를 갖추고, 전문 인력을 육성하며, 보안을 기업 문화의 핵심 가치로 삼는 총체적인 변화가 필요합니다. 막대한 투자금이 단순히 ‘땜질 처방’에 그치지 않고, 우리 사회의 디지털 안전망을 견고하게 만드는 밑거름이 될 수 있을지 앞으로의 행보가 중요해 보입니다.