SKT, 보안대응 매뉴얼 ‘실전형’으로 바꾼다

SK텔레콤은 보안과 연관된 다양한 영역을 업그레이드한다고 2일 밝혔다. 현장에서 즉시 적용 가능한 실전형 보안 거버넌스로 체질 개선 속도를 높이고, 급증하는 사이버 위협에 대응해 실행력에 초점을 맞춘 보안 혁신을 이어가겠다는 방침이다.

이를 위해 SK텔레콤은 기존 글로벌 보안 경영체계인 국제표준화기구(ISO) 정보보호 경영시스템(ISO27001)에, 실제 실행 지침서 성격의 국제표준화기구(ISO) 정보보호 통제 지침(ISO27002)을 접목했다고 설명했다. 글로벌 표준을 기반으로 국내외 정보보호 규제를 반영해 17개 정보보호 처리 지침 정비를 완료했다. 회사는 클라우드와 공급망 등 최신 보안 위협과 기술 트렌드를 반영하고, 사고 예방부터 대응·복구까지 전 과정을 구체화해 보안 대응 역량을 강화했다고 밝혔다.

또한 SK텔레콤은 보안 통제 영역별 역할과 책임을 명확히 하기 위해 RACI 차트를 규정에 반영했다. RACI는 실무 담당자(Responsible), 최종 책임자(Accountable), 자문 대상자(Consulted), 통보 대상자(Informed)를 뜻한다.

사고 유형과 조직별 대응 절차를 단계별로 정리한 ‘런북(Runbook)’도 마련해 사내에 배포했다. 런북에는 사고 인지부터 대응, 복구까지 점검 항목과 조치 방법을 담아 담당자 여부와 관계없이 필요한 조치를 실행할 수 있도록 구성했다고 회사는 설명했다.

구성원이 사내 정보보호 정책을 검색하고 업무에 적용할 수 있도록 에이닷 비즈(A. Biz)도 활용한다. 개인정보 보호 관련 사규를 정비하고, 인공지능(AI) 서비스와 가명정보 처리 등 업무 상황별 실무 지침을 마련해 현업 부서의 개인정보 보호 실행력을 높이겠다는 계획도 내놨다. 가명정보는 개인정보에서 이름·주민등록번호 등 직접 식별 요소를 가리거나 바꿔, 추가 정보 없이는 개인을 알아보기 어렵게 처리한 정보를 말한다.

SK텔레콤은 협력사와의 보안 파트너십도 강화한다. 회사는 계약 단계에서 보안 기준과 책임, 점검 등을 세부적으로 규정하는 ‘보안 스케줄(Security Schedule)’ 방식을 도입해 인프라 협력사를 대상으로 ‘정보보안 준수 약정’ 체결을 시스템화했다고 밝혔다. 개인정보 처리가 포함된 수탁업체에는 실무 가이드라인을 제공하고 상시 점검을 병행해, 통신 서비스 전 과정에서 고객 정보를 보호할 수 있는 보안 체계를 구축하겠다는 계획이다.

이종현 SK텔레콤 통합보안센터장(CISO)은 “이번 보안 체계 개선은 단순한 규정 정비를 넘어 정책·운영·사람·협력사까지 연결한 구조적 혁신”이라며 “강화된 보안 체계를 기반으로 고객이 신뢰할 수 있는 통신 환경을 안정적으로 제공해 나가겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network