[일문일답] LGU+, 정보보호 강화에 5년간 7000억 투입…2년내 ‘제로트러스트’ 구축

[인더스트리뉴스 서영길 기자] LG유플러스가 정보 보호 강화를 위한 대대적인 조치에 나선다.

빠른 시일 내에 사내 보안 전담 조직인 ‘정보보안센터’를 꾸리고, 보안 관련 투자도 지속 확대한다는 계획이다.

특히 LG유플러스는 ‘제로 트러스트(모든 접근을 신뢰하지 않고 항상 검증)’ 모델도 본격 구축할 예정이다.

이에 대해 홍관희 LG유플러스 정보보안센터장(전무)은 29일 서울 용산구 본사에서 개최한 보안 전략 간담회에 나와 “정보보호 분야에 지난해 800억원을 넘게 투자했다면, 올해는 약 1200억~1300억원을 투자할 예정”이라며 “향후 5년간 이같은 기조를 유지해 총 7000억원을 정보보호에 투입할 계획”이라고 밝혔다.

이어 그는 “제로 트러스트 모델 구축에 가장 많은 비용이 들어갈 것으로 예상하고 있고 AI 기술을 활용한 관제 대응, 서비스 컴플라이언스 영역의 점검 및 개선, 고객 프라이버시 영역에도 많은 투자를 진행할 것”이라고 강조했다.

LG유플러스는 확보한 재원을 바탕으로 보안 시스템을 전방위적으로 강화하겠다는 방침도 내놨다.

그 첫 단계로 조직 체계를 재정비하고, 시스템 정립에 나선다. LG유플러스는 정보보안센터를 중심으로 사내 ‘보안 거버넌스’ 체계를 구축하는 데에도 지속적인 노력을 기울이고 있다.

다음음 LG유플러스 홍관희 정보보안센터장(전무), 이진혁 익시오개발테스크장(상무), 오신영 사이버위협대응팀장과의 일문일답이다.

- 향후 5년 동안 정보보호에 7000억원을 투자한다고 했는데, 연간 1000억대 단위로 하는건가. 또 정보보호 보안을 위해 혹시 해외 기업이나 통신 기업들과도 협력할 계획이 있나.

▶ 홍관희 정보보안센터장(전무) : (정보보호와 관련해) LG유플러스가 지난해에 약 800억원을 투자했다. 올해는 약 1200억~1300억원을 투자할 할 예정이다. 오늘(29일) 발표한 5년 간 7000억원 투자는 매년 최소 1200억원에서 1500억원 이상은 정보보호에 투자를 하겠다는 의미라고 보면 된다. 아울러 해외 협력 부분과 관련해선 지금도 해외 여러 보안 솔루션 뿐 아니라 구글, 아마존 같은 기업들과 협력을 하고 있다.

특히 최근에 고려하고 있는 부분은 해외 이동통신사들하고도 많은 협력이 필요할 것 같다는 점이다. 그래서 현재 해외 통신사들하고도 좀 컨택트(접촉)해서 글로벌 통신사들 간 협업할 수 있는 부분들에 대해 고민하고 노력하는 중이다.

- 스마트폰 해킹 피해와 관련해 이를 막기 위해 (스마트폰) 제조사들도 여러 가지 노력을 하는 걸로 알고 있는데, 제조사들과의 협업은 진행중인가.

▶ 홍관희 전무 : 과학기술정보통신부뿐 아니라 대통령실 차원에서도 보이스피싱 사기, 스마트폰 해킹 등과 관련해 이동통신사·스마트폰 제조사와 다양한 협업을 현재도 논의 중에 있다.

- 제로 트러스트를 2027년까지 도입한다고 밝혔는데, 외부에 제로 트러스트를 전문적으로 컨설팅하는 업체한테 컨설팅을 받은 건가. 또 제로 트러스트를 올해부터 체계적으로 구축한다고 했는데, 성숙도 평가를 단행하고 있나.

▶ 홍관희 전무 : 글로벌 컨설팅 기업과 함께 저희의 제로 트러스트 현황 분석 및 어떻게 전략을 갖출지에 대해 대략 6개월 정도 컨설팅을 진행한 바 있다. 더불어 올해의 경우에는 키사(KISA·한국인터넷진흥원)에서도 제로 트러스트에 대해 컨설팅을 한다. 글로벌 기업에 이미 컨설팅을 받았지만 키사의 해당 프로그램도 한 번 받을 수 있도록 신청을 해 놓은 상황이다. 8월부터 키사에서 약 한 달 정도 나와서 저희가 현재 진행하고 있는 사업과 관련해 현황 분석 등을 할 계획이다.

또 사업 성숙도와 관련해선 저희가 2023년부터 내부적으로 시행하는 모델의 경우 성숙도를 지속적으로 평가하고 있다. 제로 트러스트의 경우 성숙도 측면에서 목표는 2027년에 글로벌 평균 이상의 성숙도를 갖도록 하는 것이다.

- SK텔레콤 해킹 사태와 관련해 업계 관계자로서 추가 위협이 없다고 판단하는지 궁금하다. 또 LG유플러스에서도 SKT와 유사 사례가 발생할 경우 ‘위약금 면제’를 포함한 대책을 똑같이 내놓을 것인가.

▶ 홍관희 전무 : 사실 이동통신사 특성상 추가 (해킹) 위협이 없을 수는 없다고 본다. 그리고 만약 (SKT와) 같은 상황이 된다면, 저희는 사회적 기업으로서 어떤 이슈가 발생했을 때 그에 적절하게 맞게 책임을 당연히 질 거고 그에 맞는 대응을 하겠다는 정도로 말할 수 있을 듯 하다.

- 거버넌스 측면에서 KPI(핵심성과지표)를 도입한다든지 정보보호 조치와 관련해 조금 더 보여줄 수 있는 방향성이 있나.

▶ 홍관희 전무 : 과기정보통부 등 당국에서는 정보보호 최고책임자(CISO)의 권한 확대, 위상 강화 등을 말하는데, 사실 보안 조직을 CEO(최고경영자) 밑에 직속으로 둔다고 위상이 강화가 되는 게 아니다. 그래서 저희는 보안 관련 KPI를 2024년부터 반영하며 위상 권한을 강화하고 있다.

- 민관 협의체 발족을 얘기했는데, 보이스피싱에 특화된 민관 협의체를 제안한 것인가. 협의체의 역할은 구체적으로 무엇인가. 또 현재 존재하는 키사와 뭐가 다른건가.

▶ 홍관희 전무 : 보이스피싱 문제는 저희 통신사 힘만으로 모든 걸 해결할 수 없기 때문에 스마트폰 제조사, 금융권, 정부, 경찰까지 다 함께 모여 머리를 맞대고 논의해야 하는 고차원적 문제다.

특히 정부 기관에서 지금까지 이 문제를 놓고 되게 많은 노력을 해오고 있는 것으로 알고 있다. 하지만 제조사, 금융권, 경찰 등이 모두 모여 논의한 적은 제가 근무한 최근 2년 동안에는 없었다. 다만 각각 따로 회의는 진행했던 것으로 알고 있다. 그래서 모두 한 자리에 머리를 맞대고 논의를 해봐야 한다는 차원에서 말한 것이다. 제가 알기로는 현재 대통령실과 정부에서 이런 문제를 인식해 움직임을 보이고 있고 정부가 ‘컨트롤타워 역할’을 하겠다는 얘기도 나온바 있다.

아울러 보이스피싱을 차단하는 데 있어서 법 개정이라든지 혹은 약간의 행정적인 완화가 필요한 영역들이 있다. 그 내용을 구체적으로 언급하기는 어렵지만 법 개정 등의 문제에 있어서는 같이 머리를 맞대는 논의를 해볼 필요는 있다.

- LG유플러스가 5년 동안 7000억원 투자가 가능하다고 했는데 구체적으로 어떤 분야에 투자하고 각각의 비중이 어느 정도인지 궁금하다.

▶ 홍관희 전무 : 어느 영역에 구체적으로 ‘얼마’를 투자하겠다 이렇게 말하긴 어렵다. 다만 제일 우선순위 투자는 제로 트러스트 분야, 개인 정보 컴플라이언스, 공급표면화 최소화 등에 등에 많은 투자가 이뤄질 것으로 예측하고 있다.

- 보안 전문 상담사를 LG유플러스 매장마다 배치를 한다고 했는데, 이 보안 전문 상담사는 어떤 기준으로 어떻게 뽑나. 또 새로운 악성 앱이 계속 나오고 있는데 이처럼 처음 도입된 악성 앱은 어떻게 막을 계획인가.

▶ 오신영 사이버위협대응팀장 : 보안 전문 상담사 선출 기준은 저희가 전국에 있는 매장을 기준으로 영업부 쪽이랑 협업해 미리 사전 교육을 했다. 매장마다 있는 직원들 중에 특별하게 보안 전문 상담을 할 인력들을 미리 선정을 한 것이다. 그 인원들만 모아서 별도로 교육을 총 세 차례 진행했다. 이를 통해 단순 교육만 하고 끝난 게 아닌 매장에 고객들이 방문을 했을 때 대응방법이나 어떤 프로세스를 통해 안내를 드리면 되는지까지 매뉴얼을 만들어 제공했다.

악성 앱과 관련해 기존에 알려진 악성 앱은 당연히 기존에 있던 다른 보안 악성 코드와 다를 것 없이 대응하면 되는데, 신규 악성 앱 같은 경우는 어려울 수밖에 없다. 그래서 고객들의 피해 사례와 실제 경험을 저희가 같이 체험하는 게 중요하다고 생각한다. 실제로 저희가 얼마 전 경찰과 함께 현장 동행을 통해 피해 고객들을 만나고 사례를 분석한 바 있다.

경찰과 동행해 어떤 악성 앱이 설치됐고 그 악성 앱을 뒤에서 조정하는 서버나 IP들이 다를 수 있기 때문에 (이러 문제들을 보며) 인사이트를 얻어 추가 분석 및 대응하고 있다고 보면된다.

- SK텔레콤 유심 해킹 사태 이후 정부 등에서 매출의 일정 기준 이상 보안 투자를 의무화하도록 하겠다거나 정보보호 인증 강화 등 규제들을 강화하려는 움직이 있다. 이에 대한 생각은.

▶ 홍관희 전무 : 규제는 꼭 필요한 영역도 있고 지나치면 안되는 영역도 있다고 생각한다. 다만 회사의 보안 수준을 계속 업그레이드해 법에서 정한 최소보다 자사만의 바(기준선)를 지속 높이는 게 중요하다. 특히 보안 관련 공시 부분은 강화할 필요성이 있다고 본다.