2025.08.05 화요일
검색
'최고정보보호책임자' 검색결과
기간검색
-
~
검색영역
검색어
-
SK텔레콤, 사상 최악 '유심 해킹' 악재에도…'흔들림 없는 배당'으로 주주가치의 미래를 약속하다 [이코노믹데일리] 사상 초유의 유심(USIM) 해킹 사태로 창사 이래 최대 위기를 맞은 SK텔레콤이 흔들림 없는 배당 정책을 유지하며 시장의 이목을 집중시키고 있다. 단기적인 재무적 타격과 신뢰도 추락이라는 악재 속에서도 주주 환원 약속을 지키는 동시에 7000억원 규모의 대대적인 보안 투자와 인공지능(AI) 중심의 사업 재편을 선언하며 위기를 기업 체질 개선의 기회로 삼는 정면 돌파에 나섰다. ◆ 위기에서 신뢰로, 방어에서 성장으로의 논리적 전환 SK텔레콤의 대응 전략은 명확한 인과관계에 따라 전개되고 있다. 1단계는 '위기의 발생과 즉각적 충격'이다. 2500만명의 민감한 유심 정보가 유출되며 가입자 이탈과 재무 전망 하향 조정이라는 직접적인 타격을 입었다. 2단계는 '시장에 보내는 신뢰의 신호'다. 이러한 혼란 속에서 회사는 2분기 배당금을 주당 830원으로 동결하는 과감한 결정을 내렸다. 이는 해킹 사태로 인한 비용이 감당 가능한 일회성 손실이며 회사의 장기적인 현금 창출 능력과 주주 환원 의지에는 변함이 없다는 강력한 메시지를 투자자들에게 전달한 것이다. 3단계는 '근본적인 체질 개선과 미래 성장 동력 확보'다. 단기적인 신뢰 회복을 넘어 향후 5년간 7000억원이라는 막대한 보안 투자를 통해 '제로 트러스트(Zero Trust)' 기반의 철옹성을 구축하고 동시에 부진했던 메타버스 사업을 과감히 정리하며 AI를 중심으로 한 미래 성장 사업에 자원을 집중하는 전략적 재편을 단행했다. 이 모든 과정은 단기적인 위기 대응을 넘어 이번 사태를 계기로 더욱 안전하고 효율적이며 미래 지향적인 기업으로 거듭나려는 SK텔레콤의 치밀한 전략적 로드맵을 보여준다. ◆ 전례 없는 위기, 10년 만에 무너진 40% 점유율...그러나 '주주가치'라는 마지노선 지난 4월 발생한 유심 해킹은 단순한 보안 사고를 넘어 SK텔레콤의 근간을 흔들었다. 정교한 악성코드로 인해 가입자 인증 정보를 관리하는 핵심 서버(HSS)가 침해되면서 전체 가입자에 해당하는 약 2500만명의 유심 데이터가 유출되는 사태가 발생했다. 유출된 정보에는 유심 인증 키, 단말기 고유 식별 번호 등이 포함되어 복제 유심을 통한 금융 사기나 신분 도용 등 2차 피해 우려가 제기되었다. 후폭풍은 거셌다. 사고 공론화 이후 위약금 면제 조치가 종료된 7월까지 약 83만명의 가입자가 이탈하여 시장 점유율은 10년 만에 처음으로 40% 아래인 39.2%까지 하락했다. 결국 회사는 연간 매출 전망치를 8000억원 하향 조정하고 영업이익 전망을 '개선'에서 '감소'로 변경해 사태의 심각성을 인정했다. 이처럼 암울한 상황 속에서 SK텔레콤 이사회는 2분기 배당금으로 1분기와 동일한 주당 830원을 결정했다. 이는 해킹 사태로 인한 올해 영업이익 감소 추정치(약 2000억~3000억원)가 배당 정책의 근간을 흔들 만큼 심각한 수준은 아니라는 경영진의 자신감을 반영한 것이다. 해킹 사태 이전인 1분기에 전년 동기 대비 13.8% 증가한 5674억원의 견고한 영업이익을 기록한 것이 재정적 완충 역할을 했다. SK텔레콤의 고정 분기 배당 정책은 실적 변동과 관계없이 주주들에게 예측 가능한 수익을 제공하는 핵심적인 주주 환원 약속이다. 이번 결정으로 '배당 신뢰도'를 유지하면서 주가 하락 시 약 7% 수준의 배당 수익률이 주가를 방어하는 '배당 마지노선' 효과를 다시 한 번 입증했다. 이는 변동 배당 정책을 시행하는 경쟁사들과 차별화되는 지점으로, 안정적인 수익을 중시하는 투자자들에게 SK텔레콤의 매력을 각인시키는 계기가 됐다. ◆ 보안과 AI에 미래를 걸다…신뢰 회복과 실행력이 관건 SK텔레콤은 뼈아픈 실수를 반복하지 않기 위해 향후 5년간 7000억원을 투자하는 '정보보호 혁신 계획'을 발표했다. 이는 국내 통신·플랫폼 기업 중 최대 규모의 보안 투자이다. 핵심은 '아무도 믿지 않고 모든 것을 검증한다'는 제로 트러스트 원칙에 기반한 보안 시스템의 전면 개편이다. 또한 최고정보보호책임자(CISO) 조직을 최고경영자(CEO) 직속으로 격상시켜 독립성과 권한을 대폭 강화하고 글로벌 화이트 해커를 동원한 모의 해킹을 정례화하는 등 거버넌스 혁신도 병행한다. 동시에 회사의 미래 성장축을 AI로 완전히 전환하는 작업에 박차를 가하고 있다. 수익성이 부진했던 메타버스 플랫폼 '이프랜드' 서비스를 내년 3월 종료하기로 결정한 것은 이러한 전략적 선택과 집중을 상징적으로 보여준다. 확보된 자원은 AI 데이터센터, GPU 기반 클라우드 등 '수익성 있는 AI 인프라' 사업에 집중 투자된다. 이는 SK텔레콤이 단순 통신사를 넘어 '글로벌 AI 기업'으로 도약하겠다는 강력한 의지를 드러낸 것이다. SK텔레콤은 사상 최악의 위기를 '기본으로의 회귀(Back to the Basic)'와 '미래를 향한 전진'이란 두 가지 과제를 동시에 해결하는 기회로 활용하고 있다. 흔들림 없는 배당 정책으로 주주들의 신뢰를 다지는 동시에 보안과 AI라는 미래 핵심 가치에 대규모 투자를 단행하며 새로운 성장 전략을 모색하고 있다. SK텔레콤의 미래 가치는 이번에 발표한 혁신 계획들의 실행 능력에 달려 있다. 7000억원의 투자가 실질적인 보안 강화로 이어져 이탈한 고객의 신뢰를 되찾고 AI 중심의 사업 재편이 구체적인 성과로 나타날 때 시장은 비로소 SK텔레콤에 더 높은 프리미엄을 부여할 것이다. 위기 속에서 던진 SK텔레콤의 승부수가 한국 통신 산업의 진화는 물론 기업 위기관리의 새로운 모범 사례가 될 수 있을지 귀추가 주목된다.2025-07-31 06:00:00
-
두나무, 해커 잡는 '소수 정예' 육성·채용 잇는 '업사이드 링크' 공개 [이코노믹데일리] 가상자산 거래소 업비트 운영사 두나무가 웹3 사이버 보안 인재와 기업을 직접 연결하는 채용 연계 플랫폼 ‘업사이드 링크(UPSide Link)’를 공개했다. 이는 전문 인력 수급에 어려움을 겪는 기업과 구직난을 겪는 청년 인재를 매칭해 국내 웹3 보안 생태계의 선순환 구조를 만들겠다는 전략이다. 업사이드 링크의 인재풀은 두나무와 보안 전문기업 티오리가 함께 운영하는 인재 육성 프로그램 ‘업사이드 아카데미’ 수료생으로 구성된다. 이들은 이론 교육과 실전 프로젝트를 모두 이수한 소수 정예 인력으로 웹3와 블록체인 보안 분야에 특화된 전문성을 갖췄다. 기업은 업사이드 링크를 통해 이들의 역량과 포트폴리오를 직접 확인하고 검증된 인력을 효율적으로 채용할 수 있다. 이번 플랫폼 출범으로 두나무는 기존의 일방향적 교육 프로그램을 넘어 ‘발굴-교육-성장-후속 지원’으로 이어지는 실질적인 인재 육성 체계를 완성하게 됐다. 업사이드 아카데미가 인재의 산실이라면 업사이드 링크는 이들을 산업 현장과 연결하는 가교 역할을 하는 셈이다. 이를 통해 고도화되는 보안 위협에 대응할 전문 인력을 공급하고 청년 구직난 해소에도 기여할 것으로 기대된다. 두나무는 지난 15일 서울 더플라자호텔에서 열린 제146차 CISO 포럼에서 업사이드 링크의 시작을 공식적으로 알렸다. 이날 ‘웹3 보안과 인재 양성’을 주제로 발표한 정재용 두나무 최고정보보호책임자(CISO)는 국내 주요 기업 정보보호 책임자 90여 명 앞에서 플랫폼의 비전을 공유하며 큰 관심을 받았다. 정재용 두나무 최고정보보호책임자(CISO)는 “업사이드 링크는 청년과 기업 모두에게 새로운 성장과 도약의 기회를 제공한다”며 “기술과 금융으로 미래 세대 육성에 기여한다는 두나무의 기업 비전처럼 앞으로 대한민국이 미래 사이버 보안 강국으로 도약할 수 있도록 적극 노력하겠다”고 말했다.2025-07-16 10:57:53
-
AI 시대, 개인정보보호법...GDPR보다 과도"…'명백성' 조항 개정 촉구 [이코노믹데일리] AI 업계와 법조계가 현행 개인정보보호법이 유럽연합(EU)의 일반개인정보보호법(GDPR)보다 과도하다며 개정을 촉구하고 나섰다. 세계적으로 엄격한 규제로 통하는 GDPR보다도 국내법의 일부 조항이 현장에서 더 큰 부담으로 작용해 AI 기술 경쟁력을 저해한다는 비판이다. 15일 국회에서 열린 ‘AI 시대, 개인정보 입법방향 토론회’에서는 2026년 AI기본법 시행에 앞서 개인정보보호법을 개선해야 한다는 의견이 주를 이뤘다. 국회 정무위원회 소속 김남근, 김승원, 김용만, 김현정, 민병덕, 박범계, 박찬대, 이인영, 이정문, 허영 의원이 공동 주최하고 한국정보통신법학회와 한국데이터법정책학회가 주관한 이날 행사에서는 AI 데이터 활용의 족쇄로 작용하는 현행법의 한계가 집중적으로 논의됐다. 가장 큰 쟁점은 정보주체의 동의 없이 개인정보를 처리할 수 있는 예외 규정인 ‘정당한 이익’ 조항이었다. 현행법은 이익, 자유 등 정보주체의 권리보다 ‘명백하게’ 우선하는 경우에만 개인정보 처리를 허용하는데 바로 이 ‘명백하게’라는 단어의 모호성과 과도함이 문제로 지적됐다. 발제를 맡은 민경식 베라세이프 변호사는 “유럽 GDPR에도 없는 ‘명백성’ 요건을 국내법이 요구하고 있다”면서 “이는 동의 중심주의에서 벗어나지 못한 것으로 정보 처리자에게 입증을 요구하는 GDPR 수준으로 조항을 현실화할 필요가 있다”고 강하게 주장했다. 토론자로 나선 윤아리 김앤장 변호사 역시 “실무상 활용에 명백한 한계가 있다”며 “명백성 조항은 삭제할 필요가 있다”고 잘라 말했다. 산업계 현장의 목소리는 더욱 절박했다. 이진규 네이버 최고정보보호책임자(CISO)는 구체적인 수치를 제시하며 규제의 불균형을 지적했다. 그는 “민감정보의 경우 GDPR은 처리 근거가 10가지인데 우리는 단 2가지뿐”이라며 “개인정보보호법을 준수하면서 AI 서비스를 제공하기가 매우 어렵다”고 토로했다. 이어 “최근 메타가 EU와 특정 요건 준수를 전제로 유럽에 AI 서비스를 제공하기로 합의했듯, AI 시대에 맞춘 유연한 합의와 개선이 시급하다”고 강조했다. 대안 마련을 위한 제언도 쏟아졌다. 강혜경 고려대 박사는 “규제가 강해 보이는 EU AI법조차 혁신 기업을 위한 ‘규제 샌드박스’ 조항을 두고 있는데 정작 우리의 AI기본법에는 이 내용이 빠져있다”고 꼬집었다. 심우민 경인교대 교수는 기술 변화에 유연하게 대응하는 ‘적응형 규제 시스템’과 함께 ‘입법 영향 분석 시스템’ 도입을 제안했다. 반면 시민사회 입장을 대변한 오병일 진보네트워크센터 대표는 “현재 체크리스트 수준에 머무는 개인정보 영향평가 제도를 실질적으로 강화해야 한다”며 정보주체의 권리 보호 장치 마련을 강조했다. 이날 이성엽 고려대 교수가 좌장을 맡은 패널 토론에는 심우민 경인교대 교수, 윤아리 김앤장 변호사, 이진규 네이버 전무, 오병일 진보네트워크센터 대표를 비롯해 공진호 과학기술정보통신부 과장, 김직동 개인정보보호위원회 과장이 참여했다. 이성엽 교수는 “브뤼셀 효과를 노리는 EU와 마러라고 효과를 노리는 미국 사이에서 제3의 길을 찾는 노력을 지속해나가야 한다”고 밝혔다.2025-07-15 18:16:09
-
사이버 안보 '총체적 부실'... 국가·기업, 속수무책 뚫린다 [이코노믹데일리] 국가 기간망부터 민간 기업의 핵심 정보까지 대한민국의 사이버 안보 체계가 뿌리부터 흔들리고 있다. 인공지능(AI) 기술을 등에 업은 사이버 공격은 날로 지능화·조직화하며 국경을 넘나드는 ‘전쟁’의 양상을 띠고 있지만 국내 대응은 ‘소 잃고 외양간 고치는’ 수준을 벗어나지 못하고 있다. 민간은 보안 투자를 비용으로 치부하며 소홀히 하고 정부는 명확한 컨트롤타워 없이 부처 간 책임을 떠넘기는 사이 국가 시스템 마비와 핵심 기술 유출이라는 ‘시한폭탄’의 초침이 흘러가고 있다는 지적이 나온다. 최근 발생한 일련의 해킹 사태는 이러한 위기를 단적으로 보여준다. 회원 2000만명의 인터넷 서점 예스24는 랜섬웨어 공격에 전산망이 마비돼 나흘간 서비스가 중단됐고 CJ올리브네트웍스는 인증서 파일이 유출돼 북한 해킹 그룹 ‘김수키’ 연루설까지 제기됐다. SK텔레콤에서는 2700만건에 달하는 가입자 식별 정보가 유출됐으며 악성코드는 최소 3년간 잠복해 있었던 것으로 드러났다. 이러한 개별 기업의 피해는 ‘공급망 공격’으로 확산되며 산업 생태계 전체를 위협한다. 올 2월 L그룹의 협력사 S사가 랜섬웨어 공격으로 설계도면, 부품 시험결과 등 기밀문서를 탈취당한 것이 대표적 사례다. 이는 보안이 취약한 협력사를 우회해 대기업을 노리는 최신 공격 트렌드를 반영한다. 이러한 위협은 더 이상 개별 기업의 문제를 넘어 국가 안보 차원의 의제로 부상했다. 최근 이란의 가상화폐 거래소를 공격한 친이스라엘 해킹 조직 ‘프레더토리 스패로’와 이에 맞서 이스라엘 주요 인프라 공격으로 보복한 이란의 사례는 사이버 공간이 이미 새로운 전쟁터가 되었음을 명확히 보여준다. 한 보안 전문가는 “사이버 공간에서의 총성 없는 전쟁은 이미 현실이 됐다”며 “과거에는 물리적 타격이 전쟁의 시작을 알렸다면 이제는 전력망, 통신, 금융 등 국가 핵심 인프라를 마비시키는 것이 선제공격의 핵심이며 이는 단순 기술 유출을 넘어 사회 전체를 혼란에 빠뜨릴 수 있는 명백한 안보 위협”이라고 진단했다. 그러나 국내 기업들의 현실 인식은 위기감과 거리가 멀다. 시가총액 상위 10대 그룹 계열사 87곳의 지난해 정보보호 투자액은 9849억원으로 전년 대비 18.2% 증가했지만 정보기술(IT) 투자액 대비 정보보호 투자 비중은 5.8%로 제자리걸음이었다. 이는 IT 예산의 평균 26%를 사이버보안에 지출하는 미국 기업의 4분의 1에도 미치지 못하는 수준이다. 인력 구조의 허점도 심각하다. 정보보호 인력 3명 중 1명(35%) 이상이 외주에 의존하고 있으며 특히 SK그룹은 그 비중이 72.6%에 달했다. 한 보안 컨설팅 업계 전문가는 “보안은 단순한 기능이 아니라 조직 문화와 깊이 연관되어야 한다”며 “외부 인력에 과도하게 의존하는 구조는 비상 상황 발생 시 신속하고 책임 있는 의사결정을 저해할 수 있으며 핵심 방어 역량은 반드시 내재화하여 충성도와 전문성을 동시에 갖춘 방패를 만들어야 한다”고 강조했다. 보안 정책을 총괄하는 최고정보보호책임자(CISO)의 위상과 권한이 미흡한 것도 구조적 문제다. 대기업 계열사 4곳 중 1곳은 CISO가 임원이 아니었으며 전체의 72.4%는 다른 직책을 겸직하고 있었다. 심지어 한 KT 자회사는 정보보호와 정반대의 목표를 가진 최고재무책임자(CFO)가 CISO를 겸직하는 이해충돌 상황까지 벌어졌다. CISO가 임원급 의사결정권을 갖지 못하면 예산 확보와 신속한 위기 대응은 요원할 수밖에 없다. 또 다른 보안 전문가는 “기업의 정보 자산은 곧 미래 경쟁력과 직결된다”면서 “‘우리는 안전하다’는 막연한 자신감을 버리고 ‘이미 침투당했다’는 전제 하에 데이터를 파편화하고 암호화하는 등 최후의 보루를 지키는 전략으로 전환해야 한다. 해커가 데이터를 가져가더라도 쓸모없게 만드는 것이 핵심”이라고 조언했다. 기업들의 안이한 대응 못지않게 정부의 역할 부재도 심각한 문제로 지적된다. 국가 행정전산망과 법원 해킹 등 공공 시스템이 뚫려도 수개월째 범인조차 특정하지 못하고 있으며 사이버 위협 대응 연구·개발(R&D) 예산은 오히려 전년 대비 8% 삭감됐다. 무엇보다 심각한 것은 재난 상황을 일사불란하게 지휘할 컨트롤타워의 부재다. 미국(CISA), 영국(NCSC) 등 주요국은 모두 국가 차원의 사이버 안보 기관을 운영하지만 한국은 관련 이슈가 터지면 과기정통부, 경찰, 국방부, KISA 등이 각자 대응해 효율성이 떨어진다. 실제로 예스24는 해킹 사고 후 KISA의 기술 지원 협조 요청을 거부했지만 이를 강제할 수단이 없었다. 컨트롤타워 설립과 민관 합동 대응 체계 구축을 골자로 하는 ‘사이버안보기본법’은 국가기관의 민간 사찰 우려라는 인권 논란에 발목이 잡혀 2006년 이후 18년째 국회 문턱을 넘지 못하고 있다. 한 보안업계 관계자는 “개별 기업의 방어 노력만으로는 국가 단위로 움직이는 해킹 조직을 막아낼 수 없다”며 “범정부 차원의 강력한 리더십 아래 민관이 유기적으로 협력하는 통합 방어 체계가 절실하며 AI 기반의 차세대 위협에 맞서려면 방어 기술 R&D에 국가적 역량을 집중하고 이를 산업계와 신속하게 공유하는 선순환 구조를 만들어야 한다”고 역설했다.2025-07-03 06:05:00
-
두나무, '보안이 곧 경쟁력'…4년간 384억 투자 [이코노믹데일리] 블록체인 및 핀테크 전문기업 두나무가 4년 연속 정보보호 투자를 대폭 확대하며 보안 강화에 힘쓰고 있다. 두나무는 올해 정보보호 부문에 약 148억원을 투자한다고 16일 밝혔다. 이는 2021년 57억원에서 시작해 매년 투자 규모를 늘려온 것으로 4년간 누적 투자액은 384억원에 달한다. 올해 정보보호 투자액 148억원은 두나무 전체 IT 부문 투자액(1543억원)의 9.6%에 해당하는 규모다. 지난해 기준 정보보호 공시 참여 기업의 평균 투자 비중이 6.1%였던 점을 고려하면 업계 평균을 크게 웃도는 수준이다. 투자 확대와 함께 전문 인력 충원도 꾸준히 이뤄졌다. 2021년 9.9명이었던 정보보호 전담 인력은 올해 33.6명으로 4년 만에 3배 이상 증가했다. 이 같은 선제적인 정보보호 노력은 대외적으로도 인정받아 지난해 11월 과학기술정보통신부로부터 정보보호 공시 우수기관 장관 표창을 받기도 했다. 정재용 두나무 최고정보보호책임자(CISO)는 “정보보호는 사고 이후의 대응보다 그 이전에 어떤 준비를 해왔는지가 실질적인 경쟁력을 결정짓는다”며 “앞으로도 고객의 자산 보호와 신뢰받는 서비스를 만드는 것에 최선을 다하겠다”고 말했다. 두나무는 기업의 보안 현황을 공개하는 정보보호 공시 제도에 2022년부터 자율적으로 참여하며 투명한 보안 경영을 실천하고 있다.2025-06-16 12:28:06
-
두나무, 차세대 보안 전문가 육성 '업사이드 아카데미' 3기 모집 [이코노믹데일리] 블록체인 및 핀테크 전문기업 두나무가 사이버보안 전문기업 티오리와 함께 운영하는 국내 최초 웹3 보안 인재 육성 프로그램 ‘업사이드 아카데미’ 3기 참가자를 27일부터 모집한다. 글로벌 경쟁력을 갖춘 최정예 보안 전문가 양성을 목표로 하며 사이버 보안, 웹3·블록체인 보안 등에 특화된 실무 중심 커리큘럼을 제공한다. 현직 전문가들이 멘토로 참여해 상시 맞춤형 1대 1 멘토링으로 지식과 경험을 전수할 예정이며 고려대, 경기대, 아주대, 숭실대, 세종대 등 5개 대학과 협력해 최대 12학점까지 인정받을 수 있다. 업사이드 아카데미 3기는 1, 2기와 동일하게 20명 소수 정예로 선발된다. 2025년 8월 18일부터 12월 19일까지 약 4개월간 이론과 실무가 융합된 집중 교육이 진행된다. 참가자 전원에게는 최신 맥북프로와 1인당 월 100만원의 학습 지원금, 팀당 월 25만원의 활동비가 제공되며 안전한 학습 환경을 위해 산재보험, 개인별 스터디 공간과 스낵바도 추가 지원한다. 최근 해킹 피해 증가로 보안 위협에 대한 경각심이 높아짐에 따라 이번 3기에서는 웹3는 물론 웹2 사이버 보안 교육과정이 대폭 강화된다. 이를 통해 참가자들은 최신 기술 트렌드를 습득하고 다양한 실전 훈련으로 보안 취약점 판단 및 위기 대응 능력을 키우게 된다. 공식 과정 수료 후에도 참가자들에게는 후속 프로젝트 및 연구 지원, 글로벌 컨퍼런스 발표, 취업 네트워킹 등 다양한 후속 지원 프로그램이 제공된다. 두나무는 단순 선발, 교육, 수료로 끝나는 기존 아카데미 방식에서 벗어나 개인의 기술적 발전과 커리어까지 고려해 참가자 모두가 미래 보안 핵심 인재로 성장하도록 적극 도울 예정이다. 사이버보안 분야에 관심 있는 대학생부터 일반인까지 누구나 지원 가능하다. 지원서는 오는 6월 29일까지 업사이드 아카데미 홈페이지에서 접수하며 실기 시험과 면접을 통해 최종 선발된다. 정재용 두나무 최고정보보호책임자(CISO)는 “업사이드 아카데미는 현존하는 블록체인과 웹3, 사이버 보안 분야 전문가들의 축적된 경험과 노하우가 고스란히 담긴 인재 육성 프로그램”이라며 “대한민국 웹3 생태계를 선도해 나갈 보안 꿈나무들의 많은 관심과 지원을 부탁드린다”고 말했다. 박세준 티오리 대표는 “사이버 보안 영역은 혼자서도 성장할 수 있지만 함께 라면 이룰 수 있는 것이 더 많아진다. 성장의 가속화를 위해서는 연대 의식과 동료애, 그리고 순수한 탐구정신이 중요한데, 지금 이곳 업사이드 아카데미는 이 모든 것이 준비되어 있다”며 “업사이드 아카데미의 3번째 여정을 함께 할 훌륭한 청년들을 기다리겠다”고 밝혔다.2025-05-27 09:49:06
-
SKT 해킹 사태, 국가 통신망 '뇌관' 건드렸다… 재발 방지 시스템 전면 개혁해야 [이코노믹데일리] 대한민국 1위 이동통신 사업자 SK텔레콤이 창사 이래 최악의 보안 위기에 직면했다. 지난 4월 말 가입자 인증 정보와 서비스 데이터를 총괄하는 핵심 시스템인 홈가입자서버(Home Subscriber Server, HSS)와 유심(USIM) 관련 서버가 외부 해킹 공격에 노출된 사실이 드러났다. 이로 인해 2300만명에 달하는 SK텔레콤 가입자의 개인정보가 유출됐을 수 있다는 우려가 확산하며 사회 전반에 큰 충격을 주고 있다. SK텔레콤은 사태 수습을 위해 전례 없는 대규모 유심 무상 교체 작업에 나섰지 초기 대응 미흡과 정보 공개 지연 논란으로 인해 고객 신뢰는 이미 크게 손상된 상태다. 이번 사태는 단순히 한 기업의 문제를 넘어 국가 기간통신망의 보안 취약성이 얼마나 심각한 수준인지를 여실히 드러낸 중대한 사건으로 평가받는다. ◆ 악성코드 감염부터 '유심 대란'까지...문제의 핵심 왜 '심장부'까지 뚫렸나 사건의 발단은 지난 4월 19일 밤 11시경, SK텔레콤 내부 시스템에서 악성코드 감염 징후가 처음 포착되면서 시작됐다. 그러나 일부 언론 보도에 따르면 이보다 앞선 18일 오후부터 이미 시스템 내에서 비정상적인 데이터 이동 정황이 감지된 것으로 알려졌다. SK텔레콤 측은 악성코드 발견 즉시 삭제 및 관련 장비 격리 조치에 착수했다고 밝혔으나 관계 당국인 과학기술정보통신부와 한국인터넷진흥원(KISA)에 해당 사실을 신고한 것은 20일로 최초 인지 시점으로부터 약 하루가 지난 뒤였다. 더욱이 해킹 사실을 일반 고객에게 공지한 것은 신고 이틀 뒤인 22일이었다. 이처럼 늑장 대응과 불투명한 정보 공개 과정 속에서 고객들은 자신의 개인정보가 유출될 수 있다는 위험에 무방비로 노출되었다. 뒤늦게 28일부터 시작된 전국적인 유심 교체 작업은 준비 부족으로 인해 극심한 혼란을 야기했다. 전국 대리점마다 교체를 원하는 고객들이 장사진을 이루었고 유심 재고 부족 사태가 속출하자 SK텔레콤은 부랴부랴 500만개의 유심 추가 확보에 나서야 했다. 현재 피해를 주장하는 가입자들의 집단 소송 움직임이 본격화되고 있으며 정부는 민관 합동조사단을 구성해 원인 규명과 재발 방지 대책 마련에 착수했다. 금융권과 주요 기업들도 본인 인증 절차를 강화하는 등 비상 대응 체제에 돌입하며 파장은 걷잡을 수 없이 커지고 있다. 이번 SK텔레콤 해킹 사태의 근본 원인으로는 구조적인 보안 시스템의 허점이 지목된다. 해커의 공격 대상이 된 HSS는 가입자의 고유 식별번호(IMSI)와 암호화 키 등 민감한 인증 정보와 각종 서비스 이용 데이터를 통합 관리하는 이동통신망의 '심장'과도 같은 핵심 설비다. 이러한 중추 시스템이 악성코드에 감염되고 외부 접근에 취약했다는 사실 자체가 SK텔레콤의 전반적인 보안 관리 체계, 즉 보안 거버넌스에 심각한 결함이 있었음을 방증한다. 특히 전문가들은 최근 몇 년간 SK텔레콤의 사이버 보안 관련 투자가 오히려 감소한 점을 문제의 뿌리로 지적한다. 실제 SK텔레콤의 연간 보안 투자 예산은 2022년 627억원에서 2024년 600억원으로 줄어들었다. 같은 기간 경쟁사인 KT가 보안 투자를 19% 늘리고 LG유플러스가 무려 116.4%나 확대한 것과는 대조적인 행보다. 이러한 '역주행' 투자 기조가 결국 보안 공백을 초래하고 이번 사태를 자초했다는 비판이 거세다. 또한 해커들이 상대적으로 감시가 소홀할 수 있는 주말 심야 시간대를 노려 공격을 감행한 점, 비정상적인 데이터 흐름이 감지되었음에도 초기 대응 골든타임을 놓친 점, 그리고 국가적으로 중요한 통신 설비임에도 불구하고 HSS가 정부의 주요정보통신기반시설로 지정되지 않아 관리·감독의 사각지대에 놓여 있었다는 점 등 복합적인 요인이 작용한 것으로 분석된다. 국회 과학기술정보방송통신위원회 최민희 위원장은 "SK텔레콤의 HSS 서버가 주요정보통신기반시설에서 제외돼 정부의 정기적인 보안 점검을 받지 못했다"며 제도적 미비점을 꼬집었다. 해외 주요 통신사들 역시 과거 대규모 해킹 및 정보 유출 사태를 경험한 바 있다. 미국의 T-Mobile은 2021년 해킹 공격으로 4000만명 이상의 고객 정보가 유출되는 사고를 겪었다. 당시 T-Mobile은 피해 고객들에게 총 5억 달러(한화 약 6500억원)에 달하는 합의금을 지급하고 보안 시스템 전면 개편을 위해 막대한 투자를 단행했다. 또 다른 미국 통신사인 AT&T도 2023년 약 7000만명의 고객 데이터가 유출되는 사고 이후 즉각적인 정보 공개와 함께 보안 전담 조직 규모를 두 배로 확대하고 데이터 수집 최소화 원칙을 도입하는 등 강력한 후속 조치를 시행했다. 이들 해외 기업들은 사고 발생 직후 비교적 신속하게 해킹 사실을 인정 및 공개하고 피해 보상에 적극적으로 나섰으며 재발 방지를 위한 실질적인 보안 인프라 강화에 집중하는 모습을 보였다. 이는 위기관리의 정석적인 대응으로 평가받는다. 반면, 이번 SK텔레콤 사태에서는 초기 대응 지연과 명확하지 않은 피해 범위 설명, 심지어 일부에서 제기되는 사고 축소·은폐 의혹 등으로 인해 고객의 불신을 자초했다는 지적이 나온다. 해외 사례에서 볼 수 있듯 위기 상황에서는 피해 사실을 투명하게 공개하고 책임 있는 자세를 보이는 것이 신뢰 회복의 핵심임에도 불구하고 SK텔레콤은 이 원칙을 간과했다는 비판을 피하기 어렵다. ◆ 확산되는 충격파, 경제적 손실과 사회적 파장...근본적인 해법을 찾아서 SK텔레콤이 이번 해킹 사태로 인해 감수해야 할 유무형의 손실은 막대할 것으로 예상된다. 우선 2300만명에 달하는 가입자의 유심을 전량 교체하는 데 드는 직접적인 비용만 최소 230억원 이상으로 추산된다. 여기에 더해 현재 진행 중인 집단 소송 결과에 따라서는 수천억원대에 달하는 배상금을 지급해야 할 가능성도 배제할 수 없다. 또한 개인정보보호법 위반으로 판명될 경우 관련 법규에 따라 연간 매출액의 최대 3%에 해당하는 과징금이 부과될 수도 있다. 이러한 직접적인 금전적 손실 외에도 파장은 다방면으로 확산하고 있다. 해킹 사실 발표 직후 SK텔레콤의 주가는 급락했으며 기업 이미지 실추로 인한 고객 이탈 및 신규 가입자 유치 어려움도 예상된다. 특히 통신망 보안에 민감한 금융권과 대기업 고객들의 이탈 가능성도 제기된다. 실제로 금융권에서는 SK텔레콤 고객 대상 본인 인증 절차를 강화하고 있으며 일부 보험사는 모바일 앱을 통한 인증 서비스를 일시 중단하는 등 추가 피해 확산을 막기 위한 조치에 나섰다. 이번 사태는 SK텔레콤이라는 개별 기업의 문제를 넘어 통신망을 기반으로 하는 대한민국 디지털 경제 생태계 전반에 대한 신뢰도 하락으로 이어질 수 있다는 점에서 더욱 심각하다. 정부와 금융기관, 주요 IT 기업들이 동시다발적으로 대응책 마련에 부심하는 이유다. 이번 SK텔레콤 해킹 사태는 일회성 사고 수습이나 '땜질식 처방'으로 마무리될 수 없는 중대한 사건이다. 전문가들은 이번 사태를 계기로 SK텔레콤뿐만 아니라 국내 이동통신 산업 전반에 걸쳐 근본적인 시스템 재설계와 체질 개선이 시급하다고 입을 모은다. 대책으로는 핵심 인프라에 대한 법적 관리 강화가 시급하다. HSS와 USIM 인증 서버 등 국가 통신망 운영의 중추 역할을 하는 시스템을 '주요정보통신기반시설'로 지정해 국가 차원의 정기적이고 강도 높은 보안 점검과 관리 감독 체계를 갖춰야 한다는 지적이 나온다. 통신사 내부의 보안 투자 역시 대폭 확대돼야 한다. 단기적인 비용 절감에 집착할 것이 아니라 사이버 보안 분야에 대한 실질적 투자를 늘리고 경영진으로부터 독립된 권한을 지닌 최고정보보호책임자(CISO) 제도를 강화해 보안 체계의 실효성을 높여야 한다. 기술적 대응도 고도화가 불가피하다. 인공지능(AI)과 빅데이터 분석 기술을 활용해 외부 침입 시도와 내부 이상 징후를 실시간으로 탐지하고 분석하는 시스템을 구축하는 한편 사고 발생 시 피해를 최소화할 수 있도록 대응 프로세스의 ‘골든타임’을 단축해야 한다. 보안은 기술만으로 완성되지 않는다. 모든 임직원을 대상으로 한 주기적 보안 교육과 실제 상황을 가정한 모의 해킹 훈련을 정례화해 조직 전반의 보안 감수성을 끌어올리고 '보안 내재화' 문화를 뿌리내려야 한다는 목소리도 높다. 예측 가능한 위협만을 막는 데 그쳐서는 안 된다. 알려지지 않은 신종 위협에 능동적으로 대응하기 위해 지능형 차세대 보안 솔루션 도입을 서둘러야 한다는 요구가 제기된다. 무엇보다 이번 사태로 심각하게 훼손된 고객 신뢰를 회복하기 위해 통신사는 사고 관련 정보를 투명하게 공개하고 피해 고객과의 소통에 적극적으로 나서는 진정성 있는 자세를 보여야 할 필요가 있다. 정부 역시 이동통신망의 국가 전략적 중요성을 다시금 인식하고 관련 법령과 통신사 보안 규제 체계를 전면적으로 재검토하고 강화해야 한다는 요구가 힘을 얻고 있다. SK텔레콤 HSS 해킹 사태는 단순한 개인정보 유출 사건을 넘어 국가 기간통신망의 안정성과 보안이라는 근본적인 문제에 대한 심각한 경고음을 울렸다. 이는 대한민국 통신 안보 시스템 전반에 대한 총체적인 점검과 근본적인 재설계를 요구하는 중대한 전환점이다. 한 번 무너진 '신뢰'라는 무형의 자산을 다시 쌓아 올리기 위해서는 긴 시간과 진정성 어린 노력이 필요하다. 이번 사태를 뼈아픈 교훈 삼아 SK텔레콤이 체질 개선과 보안 혁신을 이뤄낸다면 이는 기업을 넘어 대한민국 통신 산업 전반의 보안 수준을 한 단계 끌어올리는 전환점이 될 수 있다. 나아가 국가 디지털 경쟁력 강화라는 더 큰 목표를 향해 나아가는 중요한 디딤돌이 될 것이다.2025-05-01 06:00:00
많이 본 뉴스
영상
Youtube 바로가기
![[기자수첩] 지시로 SPC 산재 막을 수 없다…진짜 실행력 증명돼야](https://image.ajunews.com/content/image/2025/07/28/20250728160448220653_518_323.jpg)