이 기사는 2025년 10월 20일 08:18 thebell 에 표출된 기사입니다.

2017년 랜섬웨어 웜 워너크라이(WannaCry)가 퍼졌다. ‘울고 싶다’는 이름처럼 단 며칠만에 150개국에서 컴퓨터 수십만대를 감염시켰다. 추정 피해액만 40억달러. 사이버 공격이 단순한 데이터 유출을 넘어 사회 시스템을 마비시킬 수 있음을 보여준 상징적 사건이다.

워너크라이는 전 세계 기업들에게 경종을 울렸지만 보안 위협은 아랑곳없이 급증하고 있다. 국내 기업들의 정보 침해 신고 건수는 2021년 640건에서 2023년 1887건으로 불과 2년 만에 3배 가까이 폭증했다. 고조되는 위험 속 국가 기간망을 책임지는 통신사들의 실태는 어떨까.

◇'예견된 위협' 막지못한 통신 3사

최근 수년간 통신3사에 줄줄이 발생한 사고는 보안 현실의 취약성을 드러내고 있다. 사이버 위협 환경이 기하급수적으로 복잡해진 반면, 기업들의 방어 태세는 정체됐기 때문이다. 지난 8월 KT에 발생했던 무단 소액결제 사태가 대표적이다. 펨토셀 장비 리스크의 오랜 방치가 사건의 원인으로 꼽힌다.

펨토셀은 통신 품질을 개선하기 위해 설치하는 초소형 기지국이다. 해커들은 펨토셀(Femtocell)을 불법 개조해 이용자 정보를 가로챘다. 단말기가 가장 강한 신호를 보내는 기지국에 자동 연결되는 원리를 악용해 가짜 기지국으로 접속을 유도한 방식이다. 문제는 이미 2012년부터 한국인터넷진흥원(KISA)을 포함한 국내외 연구팀들이 펨토셀의 보안 결함을 지적했다는 데 있다. 구조적 약점을 10년 넘게 그대로 둔 셈이다.

KT 사태 이후 ‘SK텔레콤 고객들은 안심해도 된다’는 팝업을 띄웠던 SK텔레콤도 역시 올 4월 대규모 유심 해킹사태로 체면을 구겼다. 조사 결과 공격자는 2021년 8월부터 SK텔레콤 내부망에 잠입했다. 게다가 2022년에는 확연한 침입 흔적이 발견됐는데도 해커가 서버에 접속한 기록을 확인하지 못해 장기간 탐지되지 않았다. 내부망 감시 체제의 허점이다.

LG유플러스의 경우 2023년 29만명이 넘는 고객 데이터 유출 사고를 겪었다. 해커는 더 이상 사용되지 않는 구형 '고객인증 DB' 시스템을 통해 침투했는데 유출 시점은 2018년으로 추정됐다. 마지막 데이터 업데이트가 이뤄진 시점이다. DB시스템의 웹관리자 계정 암호가 초기 비밀번호 그대로였던 데다 인증체계도 미흡했다. 경쟁사 대비 3분의 1 수준에 불과한 정보보호 투자도 원인으로 지목됐다.

◇앞다툰 투자 경쟁…'신뢰 찾기' 신경전

대규모 보안사고가 계속되면서 3사는 경쟁적으로 방어선 구축에 나섰다. 연이은 사고가 발생하기 전인 2024년까지만 해도 통신 3사의 정보보호 투자액은 지금과 상당히 달랐다. KT가 약 1250억원으로 가장 많았고 LG유플러스가 828억원으로 뒤를 이었다. 매출 1위인 SK텔레콤은 652억원으로 최소치를 기록했다. LG유플러스 투자액이 2023년 유출 사태 이후 31%나 급증한 반면, SK텔레콤의 투자는 전년 대비 4% 감소했다는 점이 눈에 띈다.

전체 IT 투자에서 정보보호 투자가 차지하는 비중을 보면 우선순위는 더 명확해진다. LG유플러스가 7.4%로 최고였고 KT가 6.4%, SK텔레콤은 4.2%로 가장 낮았다. SK텔레콤은 KT와 LG유플러스를 합친 것보다 많은 영업이익을 내는데도 대형사고가 터지기 전까진 보안투자의 중요도가 크게 밀려 있었다는 뜻이다.


특히 상대적 투자에서 뒤처졌던 SK텔레콤이 가장 심각한 침해를 겪었다는 사실은 분명 시사하는 바가 있다. 결국 SK텔레콤은 사고 직후 5년간 7000억원을 정보보호에 투자하겠다고 발표했다. 이에 질세라 KT가 다시 5년간 1조원을 쓰겠다고 나섰고 LG유플러스도 올해 투자액을 작년보다 30% 올려잡았다. 고객 신뢰를 되찾기 위한 신경전이 시작된 셈이다.

SK텔레콤의 경우 투자뿐 아니라 조직 변화도 뒤를 따랐다. 아마존, 삼성전자 등을 거친 이종현 박사를 최고정보보호책임자(CISO)로 영입하고 CISO 조직의 위상을 격상시켰다. 기술부문 산하였던 정보보호실이 CEO 직속 '통합보안센터'로 재편됐다.

◇글로벌 기업 살펴보니…'제로 트러스트' 늦었다

글로벌 통신사들의 사례는 국내와 적잖은 대비를 이룬다. 지난해 말 버라이즌(Verizon)과 AT&T는 중국 연계 해커집단인 솔트 타이푼(Salt Typhoon)'의 공격을 받았다. 80개국 이상의 고위급 정부 인사 등을 노린 역대 최대규모의 해킹 작전이었다.

이들은 2021년부터 대형 통신업체 등에 침투해 조직적인 공격을 벌였다. 끈질기고도 강력한 적이었다는 얘기다. 제니퍼 유뱅크 전 미국 중앙정보국(CIA) 디지털 혁신부문 부국장은 "솔트 타이푼은 높은 기술적 정교함과 인내심을 특징으로 하며, (중국 해킹의) 새로운 국면을 열었다"고 말하기도 했다

결국 솔트 타이쿤은 보안 방어의 극단적인 어려움을 보여준 케이스다. 이와 달리 국내 통신사들의 경우 기본적인 보초를 소홀히 하다 침입을 허용한 것에 가깝다는 점에서 차이가 있다. 실제로 버라이즌과 AT&T는 선제적인 방어 활동을 꾸준히 수행해왔다.

버라이즌의 경우 제로 트러스트 아키텍처(ZTA)를 눈에 띄게 강조해온 곳이다. 제로 트러스트는 아무도, 아무 시스템도 기본적으로 신뢰하지 않는다는 철학에 기반하고 있다. 기존의 보안 모델이 내부 네트워크는 안전하다고 가정했던 것과 달리, 제로 트러스트는 네트워크 내외부를 막론하고 모든 사용자와 기기를 잠재적 위협으로 간주한다.


가령 과거엔 회사 가상사설망(VPN)에 들어왔으니 직원으로 가정해고 서버 접속 권한을 부여했다면, 제로 트러스트 방식에선 회사 VPN에 들어왔더라도 접근 요청을 철저히 검증하고 최소한의 권한만 허용할 수 있다.

제로트러스트는 이미 2020년을 전후로 글로벌 기업들의 도입이 가속화됐다. 버라이즌의 경우 미국 국립표준기술연구소(NIST) 가이드라인 기반의 ZTA 구현 방안을 담은 보고서를 2020년 4월 발간하고 상용화 시켰다.

국내는 다소 더뎠다. KT가 2년 전부터 추진해왔는데 올해 투자 발표와 함께 보강계획을 밝혔다. SK텔레콤은 이번 사고 이후로 보안정책의 대전환 필요성이 대두되면서 향후 제로 트러스트 체계를 구축하겠다는 입장이다. LG유플러스 역시 2027년까지 제로 트러스트 시스템을 완성하기로 했다.

◇보안은 기술 아닌 경영…이사회 관심 필수적

기술 외에 관리 체계 구조에서도 격차가 있었다. AT&T는 '최고보안책임자실(CSO)'이라는 대규모 중앙조직을 CISO가 이끌고 있다. 이사회 산하의 감사위원회가 보안 리스크에 대해 직접적인 감독 책임을 진다는 게 특징이다. CISO는 최고기술책임자(CTO), 법무팀과 함께 정기적으로 이 위원회에 보고해야 한다. 반면 국내 통신3사의 경우 올해와 작년 기준 감사위원회가 보안 리스크에 대해 논의한 내역은 없었다.

보안을 단순한 기술이 아니라 비즈니스 기회로 활용하는 움직임 역시 활발했다. 일본 NTT그룹과 독일 도이치텔레콤은 CISO가 각각 보안 전문 자회사인 'NTT 시큐리티홀딩스', ‘텔레콤 시큐리티’의 CEO를 겸직하며 보안을 수익 창출의 동력으로 삼고 있다.

업계 관계자는 “글로벌 기업들이 보안을 비용이 아닌 비즈니스 전략의 핵심축으로 발전시켜온 반면, 국내 기업들은 보안 실패를 겪고 나서야 정책을 재편하는 모습”이라며 “최근의 투자 확대, 보안 조직 개편 등은 올바른 방향이지만 경영진, 이사회 차원의 실질적인 관심과 인식 전환이 필요한다고 본다”고 강조했다.