이통사 핵심된 보안 이슈, 각광 받는 'CISO' 띄우기 방점

이통3사가 SKT 해킹사태 이후 전면에 정보보호최고책임자(CISO)를 내세우고 있다. 경영 활동에 있어 상대적으로 우선순위가 밀렸던 보안이 부각되면서 이통사별 CISO들의 이력과 역량 등에 이목이 쏠린다.

1일 업계에 따르면 이통3사는 일련의 개인정보 유출과 사이버 침해사고 이후 CISO를 중심으로 보안 거버넌스 체계를 재구성했다.

기업 정보보안 전략을 총괄하는 최고 책임자를 의미하는 CISO는 중요성에 비해 낮은 위상을 가졌다는 점에서 한계로 지적받았다. 

이통사별 면면을 따졌을 때 임원이 아니거나 조직 성격상 전사에 영향력을 발휘하기 어려운 구조였기 때문이다. 책임만 있고 예산과 권한은 없는 조직이라는 비판을 받는 것이 예사였다.

통신사는 네트워크 보안팀을 별도로 구성한다는 점도 CISO에 힘을 싣기는 어려운 구조였다. 네트워크와 라이브 서비스 중심망 중심 보안의 영향력에 비해 CISO가 가진 권한은 미약하다는 평가를 받아왔다.

하지만 최근 이통3사의 보안 거버넌스는 CISO를 중심으로 격상되는 양상이다. 해킹사태 후속 조치로 각 사별 수천억원대 보안 관련 투자 계획을 발표하면서 동시에 투자를 총괄하고 집행할 CISO에 힘을 실어줬기 때문이다. 조직 위상을 강화하고 글로벌 수준 보안체계를 구축하는 만큼 이통사별 CISO의 어깨가 무거워진 모습이다.

SK텔레콤은 해킹사태 이후 후속 조치 시점인 지난달 4일 이종현 박사를 CISO로 선임했다. 이 박사는 직전에 미국 아마존 보안 엔지니어링 디렉터를 역임한 글로벌 보안 전문가다. 해킹사태를 수습하고 보안 체계를 개편해야 하는 막중한 책임을 맡게 된 만큼 업계 최고 전문가를 영입한 것으로 풀이된다.

글로벌 보안 전문가에 걸맞는 국내외 공공과 산업 부문 다양한 약력이 이 부사장의 강점이다. 한국전자통신연구원(ETRI)를 거쳐 캐나다 주 정부에서 법무부 정보보안 담당 디렉터로서 보안 정책과 프로그램을 개발했다. 이후 삼성전자 모바일 부문에서 기기와 서비스의 전체 보안과 개인정보 보호를 담당했고, 아마존에서는 기기 관련 보안을 총괄하는 역할을 수행하는 등 디바이스 부문 보안에 특화됐다.

외부 인재 영입에 주력한 타사와 다르게 KT는 수년간 정보보안을 담당해 온 황태선 실장을 상무로 승진시키며 내부 인사에 힘을 실었다. 황 실장은 포항공대 정보통신학과 석사 출신의 보안 전문가로, 2004년 KT에 입사했다. 정보보안단에서 보안진단담당과 보안기술담당을 거쳐 지난해 5월 정보보안실장이 됐다.

정보보안실은 기존에 최고기술책임자(CTO) 부문에 속했지만, 대표가 직접 관할하는 조직으로 격상됐다. KT 정보보호 공시에 따르면 대표 직속 기구 ‘정보보안전략위원회(ISSC)’는 정보보호 안건에 대한 의사결정을 담당한다. CISO가 해당 위원회에 주축으로 참여해 전사 차원의 거버넌스를 주도하는 형태다.

LG유플러스는 2023년 개인정보 유출사태 이후 같은 해 6월 홍관희 CISO(전무)를 영입했다. 홍 전무는 2003년부터 한국인터넷진흥원(KISA)에서 정보유출과 침해사고 대응업무를 맡았다. 이후 SK텔레콤과 넥슨, 삼성카드와 쿠팡 등 대기업에서 보안업무를 총괄하며 다양한 산업군을 거친 실무 중심 보안 전문가로 평가받는다.

이후 LG유플러스는 보안체계를 대폭 강화하면서 지난해 기준 전담인력이 293명으로 늘어나 이통3사 중 1위에 올랐다. 2년간 보안 투자 금액도 연간 30% 이상 확대됐다. 대표직속 보안전담조직인 ‘정보보안센터’를 중심으로 보안 거버넌스를 확립하고, 센터장인 홍 전무는 경영 위원으로서 사내 의사결정 과정에 참여하고 있다.

염흥열 순천향대 정보보호학과 교수(한국정보보호학회 명예회장)는 “CISO에게 실질적인 권한과 책임을 부여함과 동시에 보안 투자할 수 있는 기업 문화를 확보하는 것이 중요하다”며 “임원급으로 CISO 역할을 격상한 것 만큼이나 향후 정보자산의 위협을 해소할 수 있도록 지속적으로 평가하고 유지하는 것이 관건”이라고 말했다.