SK텔레콤 유심정보 유출사태 이후 이동통신 3사가 차례로 정보보호 전략 및 투자 확대 계획을 내놨다. 지속가능한 정보보안 강화를 위해서는 제도적인 뒷받침도 이뤄져야 한다는 지적이다.

LG유플러스는 29일 보안전략 간담회를 열고 향후 5년간 정보보호 분야에 약 7000억원을 투자할 예정이라고 밝혔다. LGU+는 한국인터넷진흥원(KISA) 정보보호공시 기준 지난해 정보보호 분야에 전년대비 31.1% 증가한 828억원을 투자한 바 있다.

앞서 SKT도 이달 5일 연 긴급 기자회견에서 5년간 7000억원을 투자하겠다며 “업계 최고 수준”이라고 강조한 바 있다.

그러자 열흘 후인 15일 KT는 연간 1250억원 규모의 정보보호 투자액을 2000억원으로 늘려 5년간 1조원을 투자하겠다는 계획을 발표했다.

3사의 지난해 정보보호 투자액은 SKT(브로드밴드 포함)가 933억원, KT가 1250억원, LGU+ 828억원이었다.

인력도 대폭 늘린다. LGU+는 내·외부 도합 전담인력이 전년대비 86% 늘린 292.9명(내부 130.1명)이라며 구체적인 규모는 밝히지 않았지만 추가 인력을 확충하겠다는 의지를 보였다. KISA 공시 기준 내부 전담인력이 79.4명으로 가장 적은 SKT는 2배로, KT(172.3명)는 300명까지 늘리겠다는 계획이다.

통신 3사는 정보보안 책임자를 각각 부사장(SKT)·상무(KT)·전무(LGU+)급으로 두고 실질적인 컨트롤타워 역할을 하게 한다는 방침이다.

기업들의 투자확대는 긍정적이지만 법제도 개선도 시급하다는 지적이다.

먼저 정부의 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받은 통신 3사가 모두 해킹 사고를 겪은 점, 그러고도 인증이 유지되고 있는 것은 문제라는 인식이 있다. ISMS-P 인증제도가 형식적으로 운영되지 않으려면 인증제도 개선과 함께 해킹 사고 발생시 인증 취소가 가능토록 해야 한다는 지적이 나온다.

이번에 해킹된 SKT의 HSS(홈가입자 서버)가 국민 개인정보와 통신 안전을 지키는 국가적 기반시설임에도 불구하고 중요성이 과소평가돼 ‘정보통신기반 보호법’상 주요정보통신기반시설로 지정받지 못하고 있었다는 사실도 문제로 대두됐다. 정부가 뒤늦게 기반시설 지정을 위한 의견수렴에 나선 상태다.

이밖에 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이 해킹ㆍ악성코드 등으로 인한 보안침해 사고 발생 시 24시간 이내에 관계기관에 신고하도록 의무를 규정하고 있는 반면, 개인정보보호법은 개인정보 유출 등의 사고가 일어난 경우 그 유출을 인지한 때로부터 72시간 이내에 신고하도록 정하여 제도상 신고 기한의 불일치가 발생하고 있다는 점도 고쳐야 할 문제로 꼽힌다.

이재걸 기자 claritas@naeil.com