이동통신 3사는 해킹 사고가 발생할 때마다 보안 영역 투자를 약속해왔다. 하지만 올해 대형 해킹 사고가 반복되면서 실효성 없는 대응이라는 비판이 거세지고 있다. 매번 실체 없는 국면 전환용 발표만 되풀이된다는 지적도 나온다.
22일 관련업계에 따르면 SK텔레콤, KT, LG유플러스는 통신3사는 향후 5년간 보안 강화에 총 2조4000억원을 투자하겠다고 밝혔다. KT가 1조원으로 가장 많고, SK텔레콤과 LG유플러스는 각각 7000억원을 제시했다.
문제는 투자 방향과 세부 항목이 불분명하다는 점이다. 통신 3사 모두 해당 금액을 어떤 항목에, 어떤 방식으로 쓸지 구체적으로 밝히지 않았다. "돈은 쓰겠다"면서도 "어디에 쓸지는 아직 정해지지 않았다"는 입장을 고수하고 있다.
이 같은 모호한 태도에 업계에서는 반복되는 ‘사고→약속→미이행’ 패턴을 지적한다. 한 업계 관계자는 “보안 투자 발표는 해킹 사고 때마다 나왔다”며 “과거 사례를 보면 계열사 보안 자산 활용에만 의존하거나 실질적 변화 없이 넘어가는 경우가 많았다”고 말했다.
사고 이후 '소 잃고 외양간 고치기'식 대책이 반복되고 있다는 점도 문제다. KT는 2012년과 2014년, LG유플러스는 2023년 해킹 사고를 겪었고, 당시에도 통신사들은 보안 강화 대책을 발표했다.
2014년 황창규 당시 KT 대표는 홈페이지 해킹과 고객 정보 유출 사고 이후 “보안 시스템에 모든 자원을 투입해 빠른 시간 안에 혁신하겠다”며 “과거 잘못된 투자와 정책을 바로잡겠다”고 밝혔다. 2023년 LG유플러스 해킹 사고 당시 황현식 당시 대표는 “뼈를 깎는 성찰로 고객에게 신뢰를 주는 보안과 품질에 강한 회사로 거듭나겠다”고 강조했다.
하지만 이 같은 약속과 달리, KT와 LG유플러스는 올해 다시 해킹 논란의 중심에 섰다.
KT는 전례 없는 소액결제 침해 사고로 고객 5561명의 국제이동가입자식별정보(IMSI)가 유출됐다. LG유플러스는 내부 서버 관리 계정 권한관리시스템(APPM) 소스코드와 데이터베이스를 포함해 총 8938대 서버 정보, 4만2526개 계정, 167명에 달하는 직원과 협력사 ID 및 실명 정보가 유출됐다.
현재 KT는 침해 정황을 인정하고 과학기술정보통신부에 자진 신고한 상태다. 반면 LG유플러스는 자진 신고를 하지 않았다. 이번 LG유플러스 해킹의 관문으로 알려진 협력 보안기업 ‘시큐어키’가 7월 말 한국인터넷진흥원(KISA)에 사고를 먼저 신고하고 기술 지원을 받은 점과 대비된다.
개인정보보호위원회는 KT와 LG유플러스의 개인정보 유출 정황과 관련해 조사에 착수했다.
해킹 사고 이후 KT 김영섭 대표는 9월 11일 “피해를 입은 고객께 다시 한번 머리 숙여 사과드린다”며 “과학기술정보통신부, 개인정보보호위원회, 경찰과 적극 협조해 사고 원인을 철저히 밝히고, 재발 방지 대책을 마련하겠다”고 밝혔다.
그러나 통신 3사의 대응은 반복되고 있다는 지적이 여전하다. 업계 관계자는 “보안 투자는 항상 문제가 터진 후에야 논의된다”며 “땜질식 대응만으로는 근본적인 문제 해결이 어렵다”고 말했다.
김광연 기자
fun3503@chosunbiz.com