ESG보고서에 보안 중장기 목표 제시, 중대이슈 편입3년 내 제로트러스트 기반 보안 체계 ‘IAM’ 구축해킹 재발 방지위한 투자·거버넌스 변화 주목
  • ▲ ⓒSK텔레콤
    ▲ ⓒSK텔레콤
    SK텔레콤이 해킹 피해 이후 보안 강화를 전면에 내세우고 있다. 고객 보상안 발표 시점에 맞춰 공개할 ‘정보보호 혁신안’에 담길 내용이 관건이 될 것으로 보인다.

    2일 업계에 따르면 SK텔레콤은 지속가능경영보고서에 정보보안 중장기 목표를 제시했다. ESG 보고서에 보안 부문 중장기 목표를 제시한 것은 처음이다.

    올해부터 3개년 세부 목표를 통해 정보보호 거버넌스를 재정비하고 고도화한다는 방침이다. 주요 내용으로는 유통망 정보보호 실태 점검을 시행하며, 연내 전체 4000여개소 중 50%에 해당하는 2000여개소를 실시한다는 계획이다. 대외 서비스에 대한 모의해킹을 연 2회 시행하고, 내부 모의해킹도 1회 진행한다.

    보안 체계도 단계적으로 격상한다. 연내 서버 대상 악성코드 대응 체계인 ‘EDR’을 구축하고, 2026년에는 통합 보안관제 자동화 체계(SOAR)을 갖춘다는 복안이다. SOAR은 보안 이벤트에 대한 탐지·분석·대응을 자동화하고, 보안 솔루션 간 연동을 지원하는 것이 골자다.

    2027년 구현을 목표로 하는 전사 통합 관리체계 ‘IAM’은 사용자 계정에 대한 접근 통제 관리를 의미한다. 제로트러스트에 기반한 솔루션으로서, 내부 시스템 접근을 중앙에서 통제한다. 임직원은 각자 부여된 권한 내 업무만 수행할 수 있게 돼 외부 무단 접근을 막고 내부자 위협도 방지할 수 있다.

    정보보안 강화는 ESG 경영 추진에 필요한 중대이슈로 선정되기도 했다. 매년 내외부 이해관계자가 참여하는 중대성 평가에서 ▲서비스 품질 관리 ▲고객중심경영 ▲기후변화 대응 ▲기술혁신에 이어 5번째로 중요성이 높다고 평가됐다. 이 중 기술 혁신과 정보보안 강화는 지난해에 포함되지 않았으나 신규로 편입된 것이다.

    AI 서비스에서도 정보보호 수준을 높이기 위해 ‘AI 서비스 정보보호 가이드라인’ 수립을 추진한다. 지난해 AI 거버넌스를 회사 경영에 도입하기 위한 원칙인 ‘T.H.E AI’를 공개한 바 있다. T.H.E AI는 윤리적 책임성과 투명성을 바탕으로 AI를 활용하겠다는 원칙이다.

    AI 개발과정에서 학습 데이터 내 개인정보가 포함되지 않도록 비식별처리 기준을 수립한다. 또한 정보보호 조직 내 ‘AI 레드팀 TF’를 구성해 보안 수준을 개선한다는 방침이다. 레드팀은 사이버 보안 전문 팀으로써, 실제 해커처럼 조직 보안 방어 체계를 침투하는 공격자 역할을 수행한다.

    한국인터넷진흥원(KISA)의 정보보호공시 종합 포털에 따르면 SK텔레콤의 지난해 정보보호투자액은 총 933억원으로 전년 대비 7.3% 증가했다. SK텔레콤은 652억원, SK브로드밴드는 281억원을 각각 투자했다. 이는 정보기술 부문 전체 투자액의 약 4.4%에 해당하는 금액이다.

    SK텔레콤은 유심 해킹을 계기로 보안 강화 종합 대책을 발표한다는 방침이다. 주요 내용으로는 투자 확대와 더불어 정보보호 전담 조직의 위상 강화와 인력 내재화 등 거버넌스 전반 변화가 담길 것으로 예상된다. 이 외에도 그룹 차원에서 ‘정보보호혁신특별위원회’를 구성해 보안 체계를 전면 재점검하고 있다.

    보안 강화 종합 대책은 민관합동 조사 발표가 나오는 시점에 맞춰 발표할 전망이다. 류정환 SK텔레콤 네트워크인프라센터장은 “보안 강화 전략 수립이 마무리 단계에 있다”며 “망 문제를 해결하고 어떤 보안 인프라를 더 강화할지도 계획 중”이라고 말했다.