KT의 한 자회사는 현재 최고정보보호책임자(CISO)와 최고재무책임자(CFO)를 임원급 총괄 한 사람이 겸직하고 있다. 이곳은 한국인터넷진흥원(KISA) 정보보호 의무공시 대상이다. CISO는 정보보호 리스크(위험)를 최소화하려는 자리지만 CFO는 비용 절감과 수익성을 챙기는 역할이라 두 직책의 겸직은 이해충돌 문제가 발생할 우려가 크다. 이 회사 관계자는 “임시로 겸직을 하는 상황이고, 현재 분리 검토 중에 있다”고 설명했다.

 
SK텔레콤 유심(USIM·가입자 식별 모듈) 정보 해킹 사건 여파가 큰 가운데, 국내 대기업들의 정보보호 체계에도 경고등이 켜졌다. 최근 현대차에선 임직원 정보가 외부로 유출됐고, CJ올리브네트웍스도 인증서 파일이 해킹당했다. 개별 기업의 문제라기보다 산업 전반적으로 정보보호 현황을 재점검해야 한다는 지적이 나온다. 이에 중앙일보는 12일 시가총액 상위 10대 그룹(농협 제외)의 정보보호 의무공시 자료를 전수 분석하고, 주요 계열사 12곳을 설문조사했다. 대기업들의 정보보호 투자액과 인력 규모는 커졌지만 ‘구조적 허점’은 여전했다.

10대 그룹 중 KISA 공시 의무가 있는 계열사 87곳의 정보보호 현황에 따르면, 지난해 총 정보보호 투자액은 9849억원으로 나타났다. 2023년 투자액(8331억원) 대비 18.2% 늘어난 수치다. 기업별로 삼성전자가 2974억원으로 가장 많았고, 이어 삼성SDS(632억원), LG유플러스(632억원), SK하이닉스(627억원), SK텔레콤(600억원) 순이었다. 10대 그룹 밖에선 KT(1218억원)와 쿠팡(660억원)의 투자액이 컸다.

다만 정보기술(IT) 투자 중 정보보호 투자의 비중은 2023년과 2024년 모두 5.8%로 변화가 없었다. 절대액은 늘었지만 정보보호에 대한 실질적인 투자가 확대됐다고 보긴 어려운 것이다. 글로벌 보험사 히스콕스의 ‘사이버 보안 현황 보고서’에 따르면 미국 기업의 IT 대비 정보보호 투자 비중은 2023년 기준 평균 26%로, 한국의 4.5배 수준이었다. 독일(24%)·영국(23%)·프랑스(22%) 등 다른 선진국도 한국보다 높았다.

 


아울러 정보보호 인력 3명 중 1명 이상은 외주에 의존하는 것으로도 확인됐다. 87개 계열사의 총 정보보호 인력은 전년 대비 15.1% 늘어난 3521.9명이었지만 이 중 35%(1269.3명)은 외주 인력이었다. 그룹사별 외주 비중은 SK그룹이 72.6%로 가장 높았고, 뒤이어 HD현대(54.3%), 현대차(49.5%), LG(42.3%) 순으로 이어졌다. 삼성의 외주 비중은 13.6%로 10대 그룹 중 가장 낮았다. SK그룹의 경우 보안 자회사 SK쉴더스에서 인력을 파견받는 구조의 영향인 것으로 분석된다.

외주 비중이 높다고 보안이 취약한 것은 아니지만, 비상시 체계적인 대응을 위해선 내부 전문가 확보가 중요하다는 지적이 나온다. 앞서 2017년 1400만명의 고객 정보가 유출된 미국 통신사 버라이즌 사고는 외주업체 소속 서버 관리 직원의 실수로 발생했다. 염흥열 순천향대 정보보호학과 교수는 “최근 기업들이 보안 인력을 외주로 주는 경향이 있는데, 기업 소속감이나 책임감이 상대적으로 낮을 수 있다”며 “보안 사고 발생 시 책임감 있게 대응할 수 있는 내부 인력 육성이 중요하다”고 짚었다.

정보보호 ‘사령탑’ 역할을 하는 CISO의 권한과 역할도 미흡했다. 87개 계열사의 CISO 운영 실태를 확인한 결과, 4곳 중 1곳꼴인 24.1%는 CSIO가 임원이 아닌 것으로 나타났다. 정보통신법 시행령상 자산총액이 5조원을 넘지 않는 기업은 임원 선임이 의무는 아니지만, 정부의 K-ESG(환경·사회·지배구조) 가이드라인에서 등기 임원이나 미등기 임원으로 CISO를 선임하도록 권고하고 있다. CISO가 임원이 아닐 경우 정보보호 관련 예산 확보와 집행에서 속도감이 떨어질 수밖에 없기 때문이다.

그룹별로 삼성(12개사)과 LG(10개사)는 각 사 CISO를 전부 임원급으로 선임하고 있었다. SK는 1개사를 제외한 나머지 15개사가 임원급이었다. 반면 신세계(60%), HD현대(57.1%), 롯데(55.6%), GS(40%) 등은 상대적으로 CISO가 임원급이 아닌 비율이 높았다. 

CISO를 겸직으로 두는 계열사는 전체의 72.4%인 63곳이었다. 대부분은 유사한 업무를 수행하는 최고개인정보보호책임자(CPO)를 겸직하는 경우였지만, 보안 강화를 위해선 CISO에 권한을 더 실어줄 필요가 있다는 목소리가 나온다. 염흥열 교수는 “CISO를 최소한 임원급으로 둬야 정보보호 분야에 충분히 투자할 수 있고, 무엇이 중요한지 판단하고 의사결정을 신속하게 내릴 수 있다”고 말했다.

대기업의 해킹은 단순히 소비자 개인정보 유출에 그치지 않는다. 기업 전략과 협력망, 핵심 인력 관련 정보까지 위협할 수 있다. 현대차는 지난 6일 비인가자가 서버에 접근해 그룹 및 협력사 임직원 정보를 일부 탐지한 사실을 확인했다. 현대차는 고객 개인정보나 신차 출시 일정 등 핵심 기밀은 유출되지 않았다고 설명했지만, 인적 자원 관리 측면에서 구멍이 생겼다는 비판은 피하기 어렵다.

김형중 호서대 디지털금융경영학과 석좌교수는 “정보자산 유출은 산업기밀 유출로 이어질 수 있다”며 “언제든 유출될 수 있다는 전제로 중요 정보는 아예 해시값으로 저장하거나 원형으로 보관하지 않는 등의 대응이 필요하다”고 말했다.

이번 사고에 위기 의식을 느낀 대기업들은 서둘러 보안을 강화하고 나섰다. 중앙일보가 10대 그룹 주요 계열사 12곳을 대상으로 설문조사를 실시한 결과, 모두가 “내년 정보보호 인력과 투자액을 늘릴 계획”이라고 답했다. 특히 일부 기업은 유심 교체뿐만 아니라 보안 대응 수준을 끌어올리는 조치에 착수했다. LG유플러스는 보안 관제 체계를 ‘1시간 단위 보고’로 격상했고, 포스코는 주요 서비스에 대해 모의 해킹 테스트를 준비 중이라고 밝혔다. 롯데쇼핑도 로그인 보안과 계정 보호조치에 나서는 한편 이상 행위 모니터링도 동시에 진행했다.

전문가들은 보다 근본적인 대책이 필요하다고 입을 모은다. SK텔레콤이 현행 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 심사를 잇달아 통과했음에도 이번 해킹 사고를 막진 못했기 때문이다. 송종석 영남이공대 사이버보안과 초빙교수는 “현행 ISMS 인증은 문서 중심 평가에 머물러 있고 평가 기준을 모든 기관에 동일하게 적용하는 점이 한계”라며 “미국 등 선진국처럼 모의 해킹 등 실전 대응 역량 평가를 강화하고, 조직 전체가 참여하는 실질적인 사이버 위기 대응 훈련을 정례화해야 한다”고 지적했다.

처벌 수위를 상향하고 고객 권리를 강화하는 등 제도 전반을 개선해야 한다는 목소리도 있다. 박소영 국회 입법조사처 입법조사관은 “미국 기업들이 정보보호 관련 법을 잘 지키는 이유는 손해배상 제도가 매우 강력하기 때문”이라며 “한국에서도 기업들이 피해 조치에 대해 책임과 경각심을 가지도록 개인정보보호법상 과징금을 확대하고, 피해를 입은 소비자들의 권익을 실질적으로 보장할 수 있는 방안을 검토해야 한다”고 말했다.

박춘식 서울여대 정보보호학과 교수도 “단순히 투자액과 인력을 늘리는 게 능사는 아니고, 경영진이 보안을 위한 예산을 비용 아닌 투자로 인식해야 한다”고 강조했다.