CloudPNG

ºC

logo
IT/바이오

“보안예산 2조 넘겼다”…쿠팡·통신3사 줄줄이 뚫려 운영 리스크 경고

한유빈 기자
입력

정보보호 투자가 사상 최대 수준으로 늘었지만, 대형 개인정보 유출 사고는 오히려 연달아 터졌다. 과학기술정보통신부의 2025년 정보보호 공시 결과를 보면 국내 상위 투자 기업 상당수가 올해 굵직한 침해사고를 겪었다. 단순 예산과 인력 규모가 아닌, 계정 관리와 내부 통제 등 현장의 운영 역량이 정보보호 성패를 가르는 핵심 변수가 되고 있다는 분석이 힘을 얻고 있다. 업계에서는 이번 결과를 보안 거버넌스 경쟁의 분기점으로 보는 분위기다.  

 

과학기술정보통신부가 발표한 정보보호 공시 현황 분석에 따르면 2024년 기준 정보보호 투자액 상위 5개 기업은 삼성전자 3478억원, KT 1250억원, 쿠팡 890억원, LG유플러스 828억원, SK텔레콤 652억원으로 집계됐다. 이 가운데 삼성전자를 제외한 4개 기업이 모두 올해 대규모 개인정보 유출 혹은 내부 정보유출 사고를 겪었다. 투자 상위라는 수식에도 불구하고 실질적인 보안 통제 역량은 입증하지 못한 셈이다.  

KT는 8월 불법 기지국 장비를 활용한 범죄로 가입자 2만2227명의 개인정보가 유출됐다. 이 중 368명은 약 2억4000만원 규모의 무단 소액결제 피해를 직접 입었다. 민관합동조사 결과, 19만여개의 펨토셀에 동일한 인증서를 적용해 비정상 장비도 KT 망에 접속할 수 있었던 것으로 드러났다. 펨토셀은 소규모 기지국 장비로, 가정이나 실내에서 통신 품질을 높이기 위해 사용하는 설비다. 이 장비의 인증·암호화 체계가 제대로 분리 설계·운영되지 않으면서 보안 투자의 효과가 현장에서 상쇄된 사례로 지목됐다.  

 

쿠팡은 지난달 3370만명 규모의 개인정보 유출 사고를 일으켰다. 사고 원인으로는 퇴직 직원 계정 미차단, 미흡한 접근 통제 등 기본적인 계정 관리 부실이 지목됐다. 중복 계정과 과도한 권한 부여, 퇴직자 계정 회수 지연 등은 기업 보안의 기초에 속한다. 그럼에도 쿠팡은 대규모 보안 예산과 전담 인력을 보유하고도 이 기초 통제 과정에서 허점을 드러냈다.  

 

SK텔레콤도 4월 가입자 2696만여명의 개인정보 25개 항목이 유출되는 사고를 겪었다. 가입자식별번호 IMSI, 단말기식별번호 IMEI 등 개인을 특정할 수 있는 핵심 정보까지 빠져나가면서 유심 교체를 위한 대리점 대기 행렬이 이어지는 등 사회적 혼란이 발생했다. IMSI와 IMEI는 가입자·단말기 식별에 사용되는 고유 번호로, 공격자가 이를 확보할 경우 통신사 사칭이나 계정 탈취 시나리오의 위험도가 커진다. 통신사 내부망 접근 통제, 로그 분석, 이상 징후 탐지 등 운영 보안 체계 전반에 대한 재점검 필요성이 제기된다.  

 

LG유플러스는 최근 민관합동조사에서 내부 서버에서 서버목록과 서버 계정정보, 임직원 성명 등이 유출된 사실이 확인됐다. 핵심 인프라와 계정 정보가 동시에 노출될 경우 2차, 3차 침해로 이어질 수 있다는 점에서 위험성이 크다. 관련 서버 폐기 의혹까지 불거지며 사고 경위와 사후 관리 과정에 대한 수사기관 조사가 예고돼 있다. 보안 사고 이후의 로그 보존, 포렌식 대응 체계가 보안 거버넌스 평가의 또 다른 축이 되고 있음을 보여준다.  

 

정보보호 투자 증가 폭이 컸던 기업들도 상황은 비슷하다. 쿠팡은 올해 정보보호에 890억원을 집행해 전년 660억원 대비 230억원 늘렸다. 증가액 기준으로 삼성전자 다음 수준이다. 정보보호 전담 인력도 20.7명 늘어 211.6명을 기록했다. 인력과 예산 모두 양적 확대에 성공했지만, 계정 관리와 내부 접근 통제라는 기초 보안 단계를 지키지 못하면서 사고를 막지 못했다.  

 

LG유플러스 역시 올해 정보보호 투자 증가액 부문 3위, 전담 인력 증가 부문 1위를 기록했다. 정보보호 예산은 828억원으로 전년 대비 197억원 늘었고, 전담 인력은 135.4명 증가했다. 이는 2위인 LG CNS의 증가 폭 70.1명을 크게 상회한다. 그럼에도 내부 서버와 계정 정보가 유출되는 상황이 벌어졌다. 전문가들은 투자 자체보다 투자가 프로세스와 조직 문화 개선으로 이어졌는지가 관건이라면서, 운영 규정과 실무 사이의 괴리가 통신·플랫폼 기업 공통의 구조적 문제로 보인다고 지적한다.  

 

업종별로는 정보통신업이 평균 정보보호 투자액 62억원으로 2위, 평균 전담 인력 25.4명으로 1위를 기록했다. 수천만명 단위 이용자 데이터를 처리하고, 침해사고 발생 시 사회·경제적 파장이 크다는 산업 특성이 예산·인력 확대로 연결된 셈이다. 상위 10대 투자 기업 중 5곳, 전담 인력 상위 10대 기업 중 7곳이 정보통신업에 속해 통신·플랫폼 업체가 보안 투자 경쟁을 주도하는 구도도 확인됐다.  

 

특히 SK텔레콤, KT, LG유플러스 등 이동통신 3사는 정보보호 예산과 인력 모두 국내 최고 수준이다. 투자액 기준 KT, LG유플러스, SK텔레콤이 1~3위를 차지했고, 전담 인력도 LG유플러스 292.9명, KT 290.2명, SK텔레콤 219.2명 등 상위권을 형성했다. 그럼에도 올해 모두 대형 침해사고를 경험했다는 점에서, 통신사 특유의 복잡한 네트워크 구조와 레거시 시스템, 외주 인력 의존, 다단계 협력사 구조까지 포함한 전사적 리스크 관리 체계 재구성이 필요하다는 지적이 잇따르고 있다.  

 

정보통신업을 중심으로 한 정보보호 투자는 규제와 시장 압력이 결합해 확대돼 왔다. 과기정통부의 정보보호 공시 제도와 방송통신위원회의 이용자 보호 점검, 개인정보보호위원회의 과징금 부과 체계 등이 기업의 보안 지출을 자극하는 요인으로 작용해 왔다. 그러나 현행 공시 제도가 금액·인력 중심 지표에 치우쳐 실제 사고 예방 효과를 충분히 반영하지 못한다는 비판도 나온다. 사고 건수, 탐지·차단 비율, 퇴직자 계정 회수율, 주요 시스템 패치 적용 속도 등 운영 지표를 핵심 성과 지표에 포함해야 한다는 주장이다.  

 

국내외에서는 기술적 방어 수단뿐 아니라 보안 거버넌스와 책임 구조를 강화하려는 움직임도 이어지고 있다. 유럽연합의 사이버 회복력 관련 규제와 미국의 중요 인프라 보안 규범처럼, 경영진 책임과 공급망 관리 수준까지 요구하는 방향으로 제도가 설계되는 추세다. 한국 역시 중요정보통신시설, 클라우드 서비스, 통신망 사업자에 대한 기술적·관리적 조치 기준을 강화해 왔지만, 쿠팡과 통신 3사를 둘러싼 최근 사고들은 규범 준수 자체만으로는 충분치 않다는 사실을 보여준다.  

 

올해 국내 기업의 전체 정보보호 투자액은 2조4230억원, 정보보호 전담 인력은 8506.1명으로 전년 대비 각각 14.3퍼센트, 10.7퍼센트 늘었다. 보안 업계는 숫자 확대가 아닌, 실제 현장에서 사고를 줄였는지 여부를 중심으로 성과를 평가해야 한다고 입을 모은다. 대형 사고를 겪은 기업일수록 정보보호 공시 수치와 실제 운영·통제 체계 사이의 간극을 정밀 진단해, 로그 관리와 계정 통제, 내부자 접근 관리 같은 기본부터 재정비해야 한다는 주문이 거세다.  

 

전문가들은 정보보호 투자가 앞으로도 늘어날 수밖에 없지만, 투자 방향이 장비 도입에서 운영 역량과 거버넌스 강화로 이동하지 않으면 유사한 사고가 반복될 수 있다고 경고한다. 산업계는 이번 공시 결과가 촉발한 논쟁 속에서, 보안 예산의 크기보다 운영 체계의 실효성이 시장 신뢰를 가르는 기준이 될지 주시하고 있다.

한유빈 기자
share-band
밴드
URL복사
#쿠팡#kt#lg유플러스