【투데이신문 최주원 기자】 잇따른 해킹과 결제 피해 사고로 이동통신 3사가 보안 강화에 수천억원대 투자를 약속했지만, 반복되는 보안 사고에 단순 예산 확대만으로는 한계가 있다는 지적이 제기되고 있다. 특히 SK텔레콤과 KT는 사고 발생 후에도 근본적 취약점 개선보다 사후 대응에 그치고 있다는 비판이 나온다.

23일 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 올해 SK텔레콤의 정보보호 부문 투자액은 652억원으로 IT 투자 대비 비중은 4.4%에 불과했다. KT는 1250억원(6.4%), LG유플러스는 828억원(7.4%)을 각각 보안에 투자한 것으로 나타났다.

정보보호 인력 운용도 통신사별로 차이를 보였다. SK텔레콤은 지난해보다 전담 인력을 6명가량 줄였고, KT는 무려 46명이 감소했다. 반면 LG유플러스는 전년보다 135명을 증원하며 보안 인력 확대에 나섰다.

SK텔레콤의 정보보호부문 투자액은 652억원으로 전년 대비 7.5% 늘었지만 3사 중 가장 낮았다. 유선 사업을 담당하는 SK브로드밴드와 투자액을 합치면 933억원에 달해 828억원을 투입한 LG유플러스를 웃돌지만 KT의 1250억원에는 미치지 못했다.

이 같은 보안 투자의 허점은 현실에서 드러났다. 지난 4월 발생한 SK텔레콤 해킹 사태는 정보보호의 허술함을 여실히 드러냈다는 비판을 받고 있다. 당시 피해 규모는 공개되지 않았지만 주요 고객정보 유출 가능성이 제기되며 보안 투자 부실에 대한 논란이 끊이지 않는다.

이에 대해 SK텔레콤 관계자는 “유선과 무선을 별도 법인으로 운영하고 있어 단순 비교는 어렵다”며 “SK텔레콤과 SK브로드밴드의 합산 투자액은 결코 적지 않다”고 해명했다.

논란이 이어지자 통신사들은 대규모 보안 투자 계획을 잇달아 발표했다. SK텔레콤은 해킹 사건 이후인 지난 7월, 향후 5년간 7000억원 규모의 정보보호 투자를 약속했다.

SK텔레콤 유영상 대표는 “정보보호 투자가 곧 본업 경쟁력 강화의 근간이라는 생각으로 향후 5년간 7000억원 수준으로 투자 규모를 크게 확대할 것”이라며 “앞으로도 정보 보호 수준 고도화를 위한 투자 확대를 지속적으로 추진하겠다”고 강조했다.

이어 유 대표는 “지속적인 투자를 통해 정보보호 전문 인력은 연말까지 2배로 확대하고 보안 기술 시스템까지 확실히 강화할 것”이라며 “여기에 더해 100억원 규모의 정보보호 기금도 별도로 마련해 인재 양성, 산학 협력 등 보안 생태계 강화에 힘쓰겠다”고 언급했다.

KT 역시 같은 달 15일, ‘고객 안전·안심 브리핑’을 통해 5년간 1조원 이상의 투자 계획을 공개했다. KT는 ‘K-시큐리티 프레임워크’를 기반으로 공격 예측 및 차단 능력을 강화하고 AI 기반 보안 체계를 도입하겠다고 설명했다. 이 프레임워크는 침투 테스트를 수행하는 ‘K-오펜스’와 기술·관리 통합 대응 체계인 ‘K-디펜스’로 구성돼 있다.

이와 함께 KT는 ‘제로트러스트’ 기반의 통합 사이버보안센터를 운영 중이며 글로벌 보안 기업과의 협력도 확대할 계획이다.

하지만 KT도 여론의 비판을 피하지 못했다. 투자 계획 발표 직후 또다시 소액결제 피해 사고가 발생한 것이다. 여기에 사건 초기 대응 미흡에 대한 아쉬움, 피해 지역이 당초 알려진 것보다 확산될 가능성까지 제기되면서 여론이 악화되고 있다. 그 연장선에서 투자 계획에 대한 실효성에도 의문이 제기되는 상황이다.

KT 관계자는 “1조원 규모 투자는 장기적인 체계 구축을 위한 것이며 단기간에 효과를 기대하긴 어렵다”며 “일단은 모바일 서비스 및 단말 보안 쪽에 투자를 집중할 계획”이라고 설명했다.

한 통신사 관계자는 “보안 사고는 예산 투입만으로 막을 수 있는 문제가 아니다”라며 “중장기적 관점에서 보안 시스템을 설계하고 전사적 문화로 내재화하는 체질 개선이 필요하다”고 지적했다.