[한스경제=석주원 기자] 유심 해킹 사건이 발생한 SK텔레콤이 지난해 이통3사 중 가장 적은 652억원을 정보보호 부문에 사용한 것으로 나타났다. SK텔레콤은 처음 해킹이 발생한 것으로 알려진 2022년부터 지난해까지 3년 동안 총 1773억원을 정보보호에 투자했다고 공시했지만 결과적으로 해킹을 막지 못하면서 정보보호 공시제도에 대한 실효성 논란도 커지고 있다.
2일 한국인터넷진흥원(KISA)의 정보보호 공시에 따르면 이통3사 중 정보보호 부문에 가장 많은 비용을 지출한 기업은 KT로 지난해 1250억원을 투자했으며 이어 LG유플러스 828억원, SKT 652억원 순이었다.
정보보호 공시제도는 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 도입된 제도로 2016년부터 자율 공시 형태로 운영을 시작했다. 하지만 기업들의 참여가 저조하자 정보보호 공시를 의무화해야 한다는 목소리가 높아졌고 2021년 법 개정을 거쳐 2022년부터 특정 업종과 일정 규모 이상의 기업을 대상으로 한 정보보호 공시제도 의무화가 시행됐다.
현재 정보보호 공시 의무화 대상은 ▲회선설비 보유 기간통신사업자(ISP), 집적정보통신시설 사업자(IDC), 상급종합병원, 클라우드컴퓨팅 서비스제공자 ▲정보보호 최고책임자(CISO) 지정·신고 상장법인 중 매출액 3000억원 이상 ▲정보통신서비스 일평균 이용자 수 100만명 이상 중 하나에 해당하는 기업이다.
다만 공기업, 준정부기관, 금융회사, 평균 매출 120억원 이하 기업, 정보통신업 또는 도·소매업을 주된 사업으로 하지 않은 전자금융업자는 의무대상에서 제외된다.
의무화 시행 전 정보보호 자율 공시를 시행한 기업은 2021년 64개에 불과했지만 의무화 이후인 2022년에는 658개 업체가 정보보호 현황을 공시했다. 이후 공시 기업은 꾸준히 증가해 올해에는 773개 기업이 정보보호 현황을 공시했다.
현행 정보보호 공시제도는 정보보호 부문에 대한 투자 현황, 인력 현황, 관련 인증·평가·점검에 관한 사항, 정보보호를 위한 활동 등을 공개하도록 규정하고 있다. SK텔레콤의 정보보호 공시를 살펴보면 지난해 정보보호 투자금은 652억원, 전담 인력은 219명이었으며 CISO가 CPO(개인정보 보호책임자)를 겸하는 것으로 확인된다.
정보보호 투자금의 사용 내역은 인건비, 정보보호시스템 구입 및 임차료, 유지보수비, 정보보호서비스 이용료, 외주용역비, 컨설팅, 교육 및 훈련, 통신회선 사용료 등이다. 하지만 구체적으로 어느 부분에 얼마를 사용했는지에 대한 자세한 내역은 확인할 수 없다. 연간 600억원 이상의 비용을 투자했지만 실질적으로 정보보안 체계를 얼마나 고도화 했는지 확인할 방법은 없는 셈이다.
지금까지 공개된 정보에 따르면 SK텔레콤의 해킹 사고는 VPN 장비의 취약점이 원인으로 지목되고 있는데 현행 정보보호 공시제도에서는 해당 시스템에 어느 정도의 투자와 관리가 이뤄졌는지 확인할 수 없다.
정보보호 공시제도의 실효성에 대한 논란은 제도 시행 초기부터 지속적으로 제기돼 왔다. 2022년 공시 의무화 시행 첫 해에는 예산 부족 등의 이유로 사후 검증 대상 기업 346개 중 40개만 검증이 이뤄졌으며 그나마도 일부 기업은 자료 제출을 거부하는 등 부실 검증이 이어졌다. 삼성전자의 경우 2022년 공시에서 정보보호 투자액을 6939억원으로 기재했다가 1717억원으로 대폭 수정하기도 했다.
보안업계에서는 정보보호 공시제도의 실효성과 신뢰성을 강화하기 위해서는 정보보호 관리 책임자를 경영자와 이사회로 확장해야 한다고 지적한다. 우리나라와 비슷한 정보보호 공시제도를 운영하는 미국과 유럽연합(EU)의 경우 경영진이 사이버보안에 직접 관여하고 있는지를 공시하도록 하고 있다.
미국은 이사회가 사이버보안 리스크를 관리하는지 공시해야 하며 EU는 최고 경영진의 책임을 명시하고 사이버보안 거버넌스를 강화하도록 하고 있다. 반면 우리나라의 공시제도는 CISO와 CPO의 지정 여부만을 확인한다.
또한 우리나라 제도는 기업이 정보보호에 투자하도록 유도하는 데 중점을 두고 있지만 미국과 EU는 사이버보안 리스크 관리의 프로세스, 역할, 책임, 권한과 사이버 사건 발생 시 신속한 공시를 통해 투자자 보호를 우선하며 사건 중심의 정보 공개를 요구한다. 보안 사고 발생 시 경영진에 실질적인 책임을 묻는 것이다.
2023년 LG유플러스에서 고객 정보 유출 사고가 발생했을 때도 이번에 SK텔레콤에서 유심 정보가 유출됐을 때도 경영진과 이사회는 어떠한 처벌도 받지 않았다.
보안업계 관계자는 “기업의 사이버보안 리스크를 파악하기 위해서는 세부적으로 어떠한 보안 체계를 구축하고 있는지 확인할 수 있어야 하지만 현행 제도에서는 이를 확인할 방법이 없다. 새 정부에서 정보보호 공시제도를 강화하겠다는 방침을 밝힌 만큼 기업들이 실질적으로 사이버보안 리스크를 관리할 수 있는 방향으로 개선이 이뤄지길 기대한다”고 말했다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
