이 기사는 2023년 07월 19일 09:50 thebell 에 표출된 기사입니다.

LG유플러스는 고객 개인정보 유출로 홍역을 앓은 이후 사이버보안 혁신을 약속했다. 올 상반기에만 정보보호 투자 규모가 지난해 전체를 넘어설 정도로 쇄신에 진심인 모습이다.

정보보호 전담 인력도 꾸준히 늘리고 있다. 최근에는 다양한 업권에서 폭넓은 보안 경험을 보유한 실무형 전문가인 홍관희 전무를 최고정보보호책임자(CISO)로 영입했다. 숭실대학교와 손잡고 정보보호학과를 새로 만들어 채용과 연계하기로 했다.

◇LGU+ 작년 442억→올 상반기 640억 정보보호 투자

LG유플러스는 최근 올 상반기까지 사이버보안을 위해 약 640억원을 집행했다고 밝혔다.

올해 초 사이버 해킹 사고로 29만7117건의 개인정보가 유출됐다. 1월 말~2월 초 분산 서비스 거부(디도스·DDoS)로 추정되는 대용량 데이터가 유입되면서 총 다섯 차례에 걸쳐 유선 인터넷 접속 장애가 발생하기도 했다.

이에 정부가 직접 팔을 걷어붙이고 나서기로 했다. 과학기술정보통신부와 한국인터넷진흥원(KISA), 보안 전문가로 구성된 특별조사점검단이 꾸려서 사고 원인을 조사했다. 최근 개인정보보호위원회(개보위)는 LG유플러스에 과징금 68억원과 과태료 2700만원을 각각 부과하고 재발 방지를 위한 시정조치를 내렸다.

개보위는 LG유플러스가 고객인증시스템(CAS)의 서비스 운영 기반 시설(인프라)과 보안 환경이 해커 등의 불법침입에 매우 취약했던 점을 지적했다. 아울러 CAS 운영기에서 관리하는 실제 운영 데이터를 개발기, 검수기로 옮겨 테스트를 진행한 후 일부 데이터를 방치해 2008년에 생성된 정보 등 1000만건 이상 개인정보가 조사 시점까지 남아 있었다고 밝혔다.

다량의 개인정보를 관리하면서도 개인정보 취급자의 접근 권한과 접속 기록을 제대로 관리하지 않아 대규모 개인정보를 추출·전송한 기록을 남기지 않고 비정상 행위 여부에 대한 관리 통제가 부실한 점도 지적했다.

이를 방지하기 위해 △개인정보보호책임자 역할과 위상 강화 △개인정보 보호 조직의 전문성 제고 △개인정보 내부관리계획 재정립 △전반적인 시스템 점검, 취약요소 개선 등을 요구했다. LG유플러스가 사고 발생 이후 약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책도 차질 없이 이행하도록 주문했다.


사실 LG유플러스는 그동안 꾸준히 정보보호 부문 투자액을 늘려왔다. 2018년 186억원이었던 투자액은 이듬해 214억원, 2020년 229억원으로 늘었다. 2021년 292억원에 이어 작년에는 442억원으로 규모가 불어났다.

그런데 올 들어서는 기존의 3배 수준인 1050억원까지 투자를 늘리겠다고 약속했다. 올 상반기에만 640억원의 집행하면서 작년 전체와 비교해도 1.4배를 넘었다.

우선 취약성 점검에 가장 많은 200억원의 비용을 투입한다. 사이버 보안의 기반인 방어 체계를 공고히 해 이슈 발생을 막겠다는 취지에서다. LG유플러스는 이를 위해 외부 전문가들을 통한 모의해킹 등을 준비하고 있다.

통합 모니터링 관제에는 196억원을 투자한다. 마곡사옥 1층에 통합 관제센터를 구축하는 게 대표적이다. 그간 분산돼 각각의 기능을 하던 관제센터를 한 곳으로 합쳐 사이버보안의 신속 대응 체계를 갖춘다는 계획이다.

보안 인프라 투자에도 약 172억원을 집행한다. 하반기에는 관제 정책 등을 원점에서 점검하고 강화할 계획이다. 내년에는 웹 방화벽도 추가 투입해 B2B·B2C 인프라 보안 체계를 고도화할 방침이다.

◇정보보호 전담 조직 확대, 인력 보강 집중

LG유플러스는 정보보호 전담 인력도 강화하기로 했다. 2018년만 해도 LG유플러스의 정보보호 부문 전담 인력은 52명 수준이었는데 작년에는 117명이 됐다. 보안 조직을 확대 개편하고 인력을 계속해 보강할 계획이다.

그 일환으로 지난달에는 신임 정보보호책임자(CISO)로 홍관희 전무를 영입했다. 홍 전무는 포드 모터(Ford Motor)를 거쳐 이글루시큐리티 기술팀장을 지냈다. 이후 KISA에서 선임연구원을 역임하고 시스코 시스템즈(CISCO Systems)에서도 근무했다.

2008년에는 SK텔레콤으로 적을 옮겨 네트워크 및 서비스 보안 매니저로 2012년까지 일했다. 이어 넥슨에서 2014년까지 정보보안실장을 맡았다. 2020년까지는 삼성카드 CISO 상무를 역임했고 LG유플러스로 넘어오기 전에는 쿠팡에서 개인정보보호책임자(CPO)를 맡았다. 약 25년간 정보보호 분야 커리어를 쌓아온 실무형 전문가로 통한다.


아울러 LG유플러스는 숭실대학교와 협력해 국가 보안 인재 양성을 위한 '정보보호학과'를 계약학과로 신설하고 올해부터 신입생을 모집하기로 했다. 국가 차원의 보안 전문 인재 양성에 기여하고 육성된 전문 인력을 채용해 정보보호 역량을 높이겠다는 구상이다.

양측은 정보보호학과의 기초 교과과정으로 시스템 보안, 네트워크 보안, 인공지능 보안 등을 확정했다. 또 국제해킹대회, 산학프로젝트, 전문가 멘토링 등 다양한 비교과 프로그램을 개발해 실무 특성화 교육을 제공하기로 했다.