SK텔레콤이 유심 해킹 사태의 책임을 인정하고 향후 5년간 보안 분야에 7000억원을 투자하겠다고 발표했다. 연간 1400억원 수준으로 보안업계는 '대어급 수주 기회'에 주목하고 있다.
SK텔레콤은 7월 4일 '제로 트러스트(Zero Trust)' 기반 정보보호 체계를 구축할 계획을 발표했다.
구체적으로는 정보보호 전문 인력을 기존 대비 2배로 확대하고, 정보보호최고책임자(CISO) 조직을 최고경영자(CEO) 직속으로 격상하는 등 전면적인 보안체계 개편도 함께 단행한다. 또 AI기반 통합보안관제, 엔드포인트 탐지 및 대응(EDR) 솔루션 등을 대규모로 도입한다. 또 100억원 규모의 정보보호 기금을 조성해 보안 생태계 조성 및 스타트업 투자에도 나선다.
SK텔레콤은 또 미국 국립표준기술연구소(NIST)의 사이버 보안 프레임워크(CSF)를 바탕으로 회사의 현재 보안체계를 분석할 계획이다. SK텔레콤은 이를 통해 3년 후 국내 최고 수준의 보안체계를 구축하고, 5년 후에는 글로벌 최고 수준으로 보안 능력을 강화한다는 목표를 세웠다.
보안업계는 SK텔레콤의 대규모 투자 발표를 새로운 기회로 보고 있다. 과거 해킹 사고를 겪은 통신사들의 보안 투자 확대 패턴을 보면, LG유플러스는 2023년 개인정보 유출 사고 이후 보안 투자를 IT 예산의 3%에서 7.4%로 두 배 이상 늘렸다. 전담인력도 157.5명에서 292.9명으로 86% 대폭 증원했다.
박종선 유진투자증권 연구원은 "SK텔레콤의 유심 해킹 사건 등 사이버 공격 확대로 인한 정보보안산업에 대한 관심이 확대되고 있으며 이에 따른 수혜가 예상된다"며 "기업 내 보안 취약점 진단 중요성 증가하면서 보안 업계에서는 이에 따른 컨설팅과 관련 솔루션 매출 성장이 기대된다"고 밝혔다.
정부 또한 대형 보안 사고를 기점으로 기업들의 보안투자 확대를 적극 유도하고 있다. 개인정보보호위원회는 현재 SK텔레콤 해킹과 관련해 후속 대처 방안을 모색하고 있다. 여기에는 기업들의 개인정보보호 예산 비중 확대, 정보보호 투자 의무화 등의 내용이 담길 예정이다.
고낙준 개인정보위 신기술개인정보과장은 "암호화 대상 외 개인정보도 암호화 조치를 할 경우 유출 사고가 나더라도 과징금 감경 등 인센티브를 제공하는 방안을 검토하고 있다"며 "기업이 자발적·선제적 보호조치 시 과징금·과태료 부과 등에 전향적 고려가 가능하다"고 밝혔다.
기업 정보보호 역량 강화를 위한 법안 또한 발의됐다. 지난달 발의된 정보통신망이용촉진및정보보호등에 관한 법률개정안에는 정부가 부여하는 정보보호및개인정보보호 관리체계(ISMS-P)인증기준을 강화해 해당법령을 중대하게 위반할 경우 인증을 취소하고 과징금을 부과 하는 내용이 포함된다.
다만 업계에서는 기업들이 보안 예산을 늘린다고 해도 국산 제품보다는 외국계 제품을 선택할 가능성이 높아 국내 보안 산업까지 실질적 영향을 줄지는 더 지켜봐야 한다는 반응도 나온다. SK텔레콤 또한 이번에 고객들에게 제공하는 모바일 보안 솔루션으로 미국 기업인 ‘짐페리움(Zimperium)’의 제품을 선택했다.
보안업계 관계자는 "정부 정책 지원과 대기업들의 대폭적인 투자 확대가 맞물리면서 시장 자체는 크게 성장할 것"이라고 전망했다. 이어 "민간 기업들의 경우 보안 솔루션을 도입할 때 국산 제품을 선택할 의무가 없기에 결국 국산 제품이 글로벌 제품과 경쟁을 할 수 밖에 없다"며 "국내 보안 기업들이 실질적 수혜를 보려면 기술 경쟁력 확보가 선행돼야 한다"고 지적했다.
홍주연 기자
jyhong@chosunbiz.com