[정보보안 거버넌스 점검]SKT, CISO·CPO 분리…이사회 내 전문가 영입은 아직[통신] CEO 직속 통합보안센터 신설…연내 보안 인력 2배 확대, 5년 간 7000억 투입
안정문 기자공개 2025-10-22 07:52:03
[편집자주]
“세상엔 두 종류의 기업이 있다. 해킹을 당한 곳과, 아직 그 사실을 모르는 곳.” 세계적 보안업체 시스코의 진단이다. 완벽한 방어는 없으며 공격자는 결국 침투할 방법을 찾아낸다. 그래서 보안 전략의 근간은 기술이 아닌 프로세스에 있다. 조직 설계와 절차 개선, 꾸준한 투자가 끊임없이 순환하는 과정이다. 끝나지 않는 전쟁, 디지털 자산을 지키려는 기업들의 방패는 얼마나 견고할까. 더벨 SR(서치앤리서치)본부가 두드려봤다.
이 기사는 2025년 10월 21일 08:21 thebell 에 표출된 기사입니다.
◇해킹사태 이후 CISO 신규·CPO 분리선임
올 4월 개인정보보호위원회에 신고된 해킹은 2021년부터 진행된 장기 침입이었다. 해커는 2021년 8월 내부망에 침투해 악성 프로그램을 설치했고, 2022년에는 통합고객인증시스템(ICAS)에 추가 악성코드를 심어 거점을 확보했다. 2025년 4월에는 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 개인정보 9.82GB가 외부로 유출됐다.
조사 결과 기업 내부망에는 망분리가 제대로 적용되지 않았던 것으로 드러났다. 외부 인터넷망과 관리망, 코어망, 사내망이 동일 네트워크로 연결돼 있었고, 침입탐지시스템(IPS)의 이상 로그를 점검하지 않아 불법 유출 시도에 대응하지 못했다. 일부 서버의 아이디·비밀번호는 암호화 없이 관리됐으며 HSS에서는 비밀번호 인증 없이 개인정보 조회가 가능했다.
사고 이후 SKT는 정보보호 책임자를 교체하고 관련 직책을 분리하고 강화했다. 기술 부문 산하 정보보호실 수준이던 조직을 CEO 직속 ‘통합보안센터’로 재편했고 최고정보보호책임자(CISO)를 CEO 직속으로 격상했다. 이 조직을 이끌 CISO에는 이종현 박사가 7월 선임됐다.
이 CISO는 서강대학교에서 수학을 전공하고 컴퓨터공학을 부전공했으며 포항공과대학교에서 수학 석사, 영국 케임브리지대학교에서 컴퓨터보안 박사학위를 취득했다.
그는 글로벌 IT·제조·공공 분야를 두루 거친 보안 전문가다. SKT 합류 전에는 아마존(Amazon)에서 4년 넘게 디바이스 보안 디렉터로 재직했다. AI 스피커·셋톱박스·도어벨·위성 프로젝트(프로젝트 카이퍼) 등 폭넓은 제품군의 보안을 총괄했고, 이후 자동차 보안과 공급망 보안 영역까지 확대하며 차세대 보안기술 경험을 쌓았다.
이전에는 삼성전자에서 선임 부사장 겸 모바일 보안기술 책임자로 약 6년간 근무했다. 모바일 제품의 전반적인 보안과 개인정보 보호를 총괄했으며 구글과 협력해 안드로이드 커뮤니티 최초의 정기 보안 업데이트 프로그램을 구축했다. 또 업계 최대 규모의 버그바운티 프로그램을 운영하며 글로벌 수준의 취약점 관리 체계를 정립했다.
이보다 앞서 그는 캐나다 브리티시컬럼비아주 정부에서 8년간 정보보호 디렉터와 수석매니저로 근무했다. 이 기간 동안 주정부 전체의 정보보호 프로그램을 설계·운영하며 공공 정보보안 체계의 기반을 다졌다.
SKT는 CISO 영입에 더해 6년 만에 CISO와 최고개인정보보호책임자(CPO)의 업무를 분리하고 신규 CPO로 차호범 AI거버넌스팀장을 선임했다. CISO와 CPO의 분리는 2019년 이후 6년 만이다.
◇인력 2배 확충하고 5년간 7000억 투자
SKT는 연말까지 정보보호 전문인력을 2배로 늘리고 학위 연계 프로그램을 통해 내부 인재를 육성한다는 계획을 세웠다. 이사회에도 보안 전문가를 영입해 정기 안건으로 보안 현황을 논의하기로 했다. 다만 아직까지는 이사회 구성원에 변화가 없다.
SKT가 공개한 이사회 역량 구성표(BSM)에 따르면 보안 및 정보보호와 관련된 경력 및 전문역량을 보유한 이사는 없다. SKT 이사회는 리더십과 재무/회계, ESG/안전, ICT, AI, 글로벌/자본시장, 리스크관리/컴플라이언스에 전문성이 있는 이사들로 구성됐다.
반기보고서에 따르면 올해 3월 개인신용정보 관리·보호 실태 점검 결과가 보고됐으며 해킹 이후에는 관련 경과와 대응계획이 지속적으로 상정되고 있다.
또한 ‘레드팀’을 신설해 해커의 공격을 모의실험하는 사전 점검 체계를 도입했다. 기존 방어조직(블루팀)과 별개로 실제 공격자 관점에서 침투 시나리오를 수행해 취약점을 식별하는 방식이다.
KISA 공시에 따르면 SKT의 정보보호 전담인력은 2024년 기준 219명(내부 51명, 외주 168명)으로, IT부문 인력의 6.9%다. 전년(7.3%)보다 소폭 감소했다. 정보보호 투자는 2022년 550억 원, 2023년 600억 원, 2024년 652억 원으로 꾸준히 늘었다. 향후 5년간 7000억 원을 투입해 ‘제로 트러스트(Zero Trust)’ 기반 인증·권한 관리, 망 세분화, AI기반 통합보안관제, 암호화 등 정보보호 수준을 높이기 위해 조치에 나선다.
지속가능경영보고서에 따르면 SKT는 24시간×365일 통합보안관제센터를 운영하며 SOAR(보안 오케스트레이션·자동대응)와 통합 IAM(접근권한관리)을 구축했다. 연 2회 모의해킹과 버그바운티 프로그램을 정례화하고, EDR 기반 악성코드 대응체계도 적용 중이다.
정보보호업계 전문가는 "이번 사태는 관리, 감시 부족으로부터 이어진 결과물"이라며 "투자 확대도 물론 필요하지만 단순한 시스템 구축보다 중요한 것은 선제 탐지와 대응 체계의 내재화"라고 설명했다.
< 저작권자 ⓒ 자본시장 미디어 'thebell', 무단 전재, 재배포 및 AI학습 이용 금지 >
관련기사
best clicks
최신뉴스 in 인더스트리
-
- [i-point]마음AI, 자율 지능형 피지컬AI 기술 공개
- [유증&디테일]E8, 디지털트윈·온톨로지 사업 전개 실탄 마련
- [현장 스토리]황도연 오비고 대표 “메가 트렌드 시작, 내년 흑자 전환“
- [영상]미국 투자판 새로 짠 한화, 법인 6개 겹겹이 쌓은 이유는?
- [코스닥 CB 만기도래]최석주 청담글로벌 대표, 매출채권 회수 '상환 자신'
- [i-point]쎄크, 원익투자파트너스 발 오버행 이슈 해소
- [i-point]나노실리칸, TPI와 독점 파트너십 체결
- [i-point]제이스코홀딩스, "필리핀과 니켈 밸류체인 협력 강화"
- [i-point]딥노이드, JPI헬스케어와 MOU “미국·일본 의료영상 시장 공략”
- [카카오 재도약 전략 진단] 재신임 앞둔 정신아 대표 '연속성 vs 변화'
안정문 기자의 다른 기사 보기
-
- [Board Change]STX, 3인→7인 체제로…그린로지스 인사 전면 배치
- [정보보안 거버넌스 점검]제주항공, 투자·우선순위 들쑥날쑥…담당 직급도↓
- [LG의 CFO]송광륜 LG CNS CFO, HS애드 재무효율화 성과
- [정보보안 거버넌스 점검]현대오토에버, 그룹 기조 발맞춰 보안투자 대폭 확대
- [정보보안 거버넌스 점검]한국증권, 투자규모 업계 최대…CISO·CPO 일원화
- [레버리지&커버리지 분석]한화솔루션, 8500억 수혈…재무개선 효과는 크지 않아
- [Board Match up/한국투자금융 vs 노무라홀딩스]31조 vs 10조…양사 주가 흐름은 비슷
- [Board Match up/한국투자금융 vs 노무라홀딩스]한국증권, 삼성생명 IPO부터 살펴본 빅딜의 역사
- [Board Match up/한국투자금융 vs 노무라홀딩스]노무라 100년…국가 프로젝트에서 글로벌 메가딜까지
- [정보보안 거버넌스 점검]삼성SDS, 정보책임자 유일한 독립 구조