이 기사는 2025년 10월 20일 08:19 thebell 에 표출된 기사입니다.

환경·사회·지배구조(ESG) 평가기관 서스틴베스트는 9월 컨트로버시(Controversy) 평가를 통해 KT의 점수 하락 가능성을 언급했다. 서스틴베스트는 해킹 사고의 심각성과 피해 규모를 고려하면 사회(S) 부문의 최대 10점 감점까지 전망된다고 봤다. 이달까지 진행한 KT 전수조사 결과 불법 초소형 기지국의 수와 피해 규모는 더 늘었다.

KT는 8월 무단 소액결제 사고에 대응해 향후 1조원을 투입하겠다고 밝혔다. 정보보안 전담 인력이 줄어들던 상황에서 관련 사고가 발생하자 질책의 강도가 더 세졌기 때문이다. 통신업계 보안 관계자는 최근 KT가 관련 인력을 적극적으로 충원 중이라고 전했다.

◇전사 보안 컨트롤타워에도 사고…"적극적 인력 충원 중"

업계 관계자는 최근 KT가 보안 부문 구인에 나서고 있다는 분위기를 전했다. 채용 강화는 통신사고와 무관하지 않다고 부연했다. 향후 보안 강화를 위해 인력을 충원할 필요도 있지만 보안사고 대응을 위한 인력 채용도 시급하다는 설명이다.

통신업계 정보보안 부문 관계자는 "보안 관련 큰 사고가 발생하면 한국인터넷진흥원(KISA)에서 매우 꼼꼼한 조사를 시행한다"며 "수많은 증적자료를 제출하도록 하거나 수천개의 서버에 모두 점검 툴을 적용하도록 해 업무 과부하가 올 수밖에 없다"고 짚었다.

KT는 최고경영자(CEO) 직속의 정보보안전략위원회(ISSC)를 운영 중이다. 위원회 아래 황태선 상무가 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 겸직해 담당 수장도 명확하게 정해져 있다. KT는 지속가능경영보고서를 통해 "CISO는 보안 정책 수립, 리스크 모니터링, 침해 대응, 교육 등을 총괄"한다고 명시했다.


황 상무가 실장을 맡아 정보보안실도 운영 중이다. 정보보안실 외에도 정보보호 부문 전담 인력을 두고 있다. KISA 정보보호 공시종합포털의 2025년 공시를 기준으로 내부인력 172.3명, 외주인력 117.9명으로 총 290.2명을 배치했다.

이사회에서도 정보보안 관련 의안을 다루고 있다. 상반기 보고서를 보면 보안 사고가 발생하기 이전인 2월에도 '마이데이터 서비스 개인신용정보의 관리 및 보호 실태 점검 결과 보고' 등을 의안으로 논의했다.

다만 2023~2024년 전담 인력이 줄었다. KT의 지속가능경영보고서를 보면 정보보호 관련 인력은 2022년 304명에서 2023년 337명으로 확대됐다가 2024년 290명으로 줄었다. IT 인력대비 비율도 감소해 2022년 6.6명에서 2023년 5.6명, 2024년 4.7명으로 나타났다. 전체 정보기술부문 인력은 6178.9명으로 집계됐다.

서스틴베스트는 보고서를 통해 "KT의 정보보호 전담 인력은 전년 대비 13.8% 감소했으며, 이는 보안 사고에 대한 신속한 대응을 어렵게 해 취약점을 드러낼 위험이 있다"고 지적했다.


◇예산 1조원 편성…정보보호 투자비율 3사 중 2위

KT는 정보보호 관련 예산 1조원을 편성했다. 향후 5년간 정보보호 분야에 투자한다. 구체적으로 글로벌 협업(약 200억원), 제로트러스트·모니터링 체계 강화(약 3400억원), 보안 전담 인력 충원(약 500억원), 현행 정보보호 공시 수준 유지 및 점진적 개선(약 6600억원) 등이다.

2025년부터 2029년까지의 연평균 투자액은 2000억원 이상일 것으로 전망된다. KT 관계자는 "재발 방지를 위한 기술·제도적 보완책 마련과 실질적인 고객 보호 조치에 끝까지 책임을 다하겠다는 방침"이라고 답했다.

2024년에는 약 1250억원을 정보보호에 투입했다. 전제 정보기술부문 투자액은 1조9800억원이다. 2024년 정보기술부문 투자액은 전년대비 2.6% 늘어난 수치다. LG유플러스가 828억원, SK텔레콤은 652억원을 썼다. 절대액 기준으로는 KT가 가장 많이 투자했다.

IT 투자 대비 정보보호 투자 비율은 2위다. LG유플러스가 7.4%, KT가 6.3%였고 SKT가 4.2%로 하위였다.

편성 예산을 바탕으로 △전사 모의해킹 및 취약점 진단/개선 △보안관제 솔루션 고도화를 통한 통신망 안정성 확보 △통신 인프라보안 취약점 점검 및 개선 △전사 보안 침해사고 대응 모의훈련 계획 수립 및 시행 등의 활동을 개진 중이다.

◇IT·네트워크 융합 사이버보안센터 운영

KT는 국내 통신사 중 유일하게 IT·네트워크 융합 사이버보안센터를 운영한다. 사고 탐지부터 분석, 대응, 복구까지 전 과정을 내부 센터에서 통합 처리하는 체계를 갖췄다. 클라우드와 데이터센터를 통합 관리해 운영 효율성과 위협 대응 속도도 높였다.

AI 보이스피싱 탐지 기능을 도입 중이다. 2.0은 2025년 상반기 기준 1460만건을 분석했다. 정확도는 91.6%, 피해 예방액은 710억원으로 집계됐다. KT는 음성 패턴과 화자 인증을 결합한 기술을 적용해 정확도 95% 이상 달성을 목표로 하고 있다.


전사 차원의 제로트러스트 아키텍처를 도입해 사용자와 단말을 지속적으로 검증한다. 최소 권한만 부여하는 방식으로 접근 통제를 강화했다. 글로벌 보안 전문사와 협업해 인증, 세션 관리, 접근제어를 아우르는 통합 체계로 발전시키고 있다.

기업 보안을 위해서는 올해 안으로 디도스(DDoS)방어 용량을 지금보다 2배 이상 늘리기로 했다. 해외에서 국내로 들어오는 구간에서 업계 최대 규모의 방어 용량을 확보하고 있다.

정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 갖췄다. 인증 범위는 정보통신서비스 인프라 운영이다. KT는 과학기술정보통신부와 KISA의 정보보호공시 사후검증 대상에 포함돼 투자·인력·운영 체계 전반에 대한 외부 검증이 재차 진행될 예정이다.