[포쓰저널=홍윤기 기자] 황현식 LG유플러스 대표가 '29만명 고객정보 유출'과 '디도스(DDOS)공격으로 인한 접속장애' 등 최근 잇따라 발생한 보안 사고와 관련해 16일 사과와 함께 사이버안전혁신안을 내놓았다.

혁신안은 보안관련 조직 개편 및 인력 확충에 중점을 뒀다. ▲전사정보보호(CISO)·개인정보보호책임자(CPO)의 최고경영책임자(CEO) 직속 격상 ▲보안 조직 확대 및 ·인력·투자 증대 ▲외부 보안전문가와 취약점 사전점검·모의 해킹 ▲화이트 해킹 대회 실시 등이다.

대학(원), 연구소와의 협력으로 사이버 보안 전문인력을 양성하겠다는 계획도 혁신안에 포함됐다.  

지난해 기준 292억원인 정보보호 투자액을 업계 최고 수준으로 확대하겠다고 약속한 1000억원의 상당수도 보안 전문인력에게 투자하는 인건비가 될 것으로 알려졌다. 

개인정보유출 사실을 인지하기까지 LG유플러스의 보안 체계는 기본을 망각한 최악의 모습을 보였다. 반면 혁신안은 적어도 방향만큼은 제대로 잡은 것으로 보인다.

'방어'는 해당 위험을 막았느냐에 앞서 공격 자체를 인지했느냐에서 시작된다. 회선안에 감쳐진 네트워크 상에서는 이러한 인지가 더욱 중요하다. 

정보보안에서는 ‘위협(Threat)’과 ‘위험(Risk)’을 나눠 구분한다. 위협은 아직 직접적인 ‘공격’이 드러나지 않는 위기 징후, 위험은 공격이나 침투가 실제로 발생한 상황이다.

LG유플러스는 위협을 모니터링하면서도 위험을 감지하는 데는 실패했다.

정보보안 영역에선 기술적으로 완벽한 보안시스템도 보안 조직체계도 있을 수 없다. 2020년 12월 발생한 미국 솔라윈즈(SolarWinds) 사태는 정보보안에 '완벽한 방패'는 없다는 것을 보여준 사례다.

당시 IT 모니터링 솔루션 '오리온' 제품을 사용하는 미국 정부기관들이 트로이얀 목마 기법(악성코드를 일반적인 스프트웨어 등에 포함 또는 위장해 전파하는 방식)으로 해커가 심은 악성코드의 영향을 받았다. 정보보안 분야에서 세계 최고의 기술을 보유한 것으로 평가받은 미국 국토안보부(NSA)도 피해를 입었다.

중요한 것은 결국 침입과 공격을 모니터링 하는 운용인력의 '눈'이다. 

보안 조직 및 인력 확충에 초점을 맞춘 LG유플러스의 혁신안이 현실적이고 옳은 선택으로 보이는 이유다.

LG유플러스는 CEO(최고경영자) 직속으로 정보보호 최고책임자(CISO)와 개인정보보호 최고책임자(CPO)를 분리해서 두기로 했다.

2019년 6월 13일 정보통신망이용촉진및정보보호등에관한법률 개정안에 의해 통신 3사 등 전기통신사업자의 CISO는 겸직이 금지됐다.

그러나 대부분의 기업들은 조직분산으로 인한 내부인력 증가 및 기타 비용 증가 등을 이유로 CISO와 CPO를 구분하지 않고 있다.

SK텔레콤은 보안과 관련해, 정보보안최고책임자로 부사장급 1명(손영규)을 두고 있다. CEO 직속은 아니다.  

KT도 정보보안단(단장 문영일)를 두고 있지만, CEO직속은 아니며 상무급 임원 1명만을 두고 있을 뿐이다. 

LG유플러스도 재무(CFO)/위기관리(CRMO), 리스크관리(CRO), 인사(CHO), 기술(CTO), 콘텐츠(CCO), 전략(CSO), 데이터(CDO) 분야까지 망라해 전무급 이상의 최고 책임자를 두고 있지만, 보안 분야는 상무급과 부장급 임원 사이의 '정보보안담당'만을 두고 있었다.

현행법이 원칙적으로 CISO와 CPO의 겸직을 금지하고 있는 것은 인력과 조직을 별개로 두고, 보안에 더욱 신경쓰라는 취지다.

AI(인공지능)로 자동화된 시스템이 보안 현장에서 작동하고는 있지만, 보안수준을 꼼꼼하게 유지하기 위해서는 결국 사람이 할 일이 많기 때문이다. 

황현식 대표는 "네트워크와 정보보안은 통신사업의 기본이고, 고객의 신뢰로 이어진다는 것을 잘 알고 있다"며 사과했다.

거의 모든 국민이 통신사의 서비스를 이용하고 있는 만큼 개인정보 보안에 있어서는 통신 3사는 그어떤 기업들보다 책임감있는 자세가 필요하다.

이번 사태를 통해 통신 3사는 그 어떤 기술도 책임감 있는 감시자의 눈보다 더나은 방패가 될 수 없음을 되새기길 바란다.