권헌영 SK그룹 정보보호혁신특위 자문위원장 “SKT 사태, 한 기업만의 문제 아냐”
“기업 혁신 넘어, 국가 보안 전략 재편 계기로 삼아야”
“SK텔레콤(SKT)만의 문제가 아니다. 다음 피해자는 우리 회사, 국가가 될 수도 있다.”
SK그룹의 ‘정보보호혁신특별위원회(이하 정보보호혁신특위)‘ 자문위원장을 맡은 권헌영 고려대학교 정보보호대학원 교수는 SKT의 해킹 사고를 단순히 한 기업의 문제가 아닌 사회 전체의 보안 위기로 진단했다.
지난 4일 SKT는 유심(USIM) 해킹 사고의 대응책으로 ‘정보보호 혁신안’을 발표했다. 과학기술정보통신부(장관 유상임) 민·관합동조사단의 사고 조사 최종 결과가 공개된 직후다.
SKT의 혁신안에는 ▲5년간 총 7000억 원 규모의 보안 투자 ▲보안 인력 2배 증대 ▲정보보호최고책임자(CISO) 조직의 최고경영자(CEO) 직속 격상 ▲제로트러스트 기반 보안 기술·시스템 고도화 등이 담겼다.
이번 조치는 단순한 기업 대응의 차원을 넘어 SK그룹 전체의 보안 전략을 전환하는 신호탄으로 해석된다.
권헌영 교수는 “SKT 정보보호 혁신안의 중심에는 지난 5월 SK그룹이 새로 구성한 정보보호혁신특위 자문위원단의 강도 높은 조언이 있었다”고 설명했다.
정보보호혁신특위는 SK그룹의 최고의사결정기구인 ‘수펙스추구협의회’ 산하에 설치됐으며, 위원장은 최창원 SK디스커버리 부회장이 맡았다. 특히, 보안 분야 전문가들로 구성된 자문위원단(이하 자문위원단)도 꾸려졌는데, 권 교수가 자문위원장을 맡았다.
자문위원단에는 권 교수 외에도 최경진 가천대학교 교수와 이병영 서울대학교 교수, 김용대 카이스트 ICT 석좌교수 등 학계 전문가와 박세준 티오리 대표, 박찬암 스틸리언 대표 등 산업계 전문가들이 다수 포함됐다.
자문위원단은 수펙스추구협의회와 함께 매월 정기 회의는 물론, SK그룹의 보안 관련 실무 검토에도 직접 참여해 실효성 있는 대책을 논의하고 있다. 현재까지 각각 두 번씩 전체 회의와 실무 검토 회의가 이뤄졌다.
SKT만의 문제 아냐…‘보안 혁신’은 국가 차원의 과제
권헌영 교수는 자문위원장으로서 “이번 사고는 특정 기업만의 문제가 아니라, 우리 사회 전체가 공동 대응해야 할 국가적 보안 위기”라고 진단했다.
이어 “공격이 수개월간 이어졌음에도 이때까지 누구도 알아차리지 못한 것은 심각한 문제”라며 “우리 사회 전체가 얼마나 사이버 공격에 무방비 상태인지 보여주는 사건이었다“고 강조했다.
또한 그는 SK그룹이 이번 사태를 계기로 강한 위기감을 느끼고 있으며, 정보보호혁신특위를 통해 그룹 전체 보안 체계를 전면 재정비하고 있다고 설명했다. SKT 외에도 핵심 계열사인 SK하이닉스, SK에너지 등 국가의 핵심 산업군 관련 기업에 대한 보안 강화도 확대되고 있다는 것이다.
권 교수는 “SKT 사건은 개인정보가 유출되는 수준을 넘어, SKT 같은 국가 핵심 산업을 견인하고 있는 기업도 공격받을 수 있다는 위협을 보여줬다“며 “만약, SK하이닉스나 SK에너지솔루션 같은 핵심 전략 산업군의 정보가 유출됐다면, 파장은 더 컸을 것“이라고 우려했다.
특히, “보안이 단지 한 기업 차원의 리스크 대응이 아닌, 국가의 경제 안보와 연결된다는 사실을 이번에 모두가 깨달아야 한다”고 강조했다.
7000억원 규모의 보안 투자에 대해서는 “자문위단의 강한 권고가 반영된 것”이라며 “단기적인 투자 계획만이 아니라 구조적인 개편, 문화적 전환까지 (SK그룹 측에) 요구했다. 이번 발표는 1차 조치에 해당한다”고 설명했다.
이어, SKT의 발표 중 정보보호기금 100억 원 출연이 상징적 의미를 갖는다고도 말했다. SKT 혼자만 잘하겠다는 게 아니라, 국가와 산업의 보안 생태계를 함께 키우겠다는 그룹 차원의 의지가 투영됐다는 것이다.
권 교수는 “사고 수습에 그치지 않고, 보안 생태계를 움직이겠다는 의지와 계획이 중요하다“며 “SKT에서 사태가 발생했기에 국내 최대 국가기간통신사로서 먼저 발표한 것이지 다른 기업들도 예외는 아니며, 보안 문제는 더 이상 특정 기업이 혼자 감당할 수 있는 과제가 아니다“고 강조했다.
보안 인력 양성, “대우 개선 시급, 실력은 수준급“
SKT는 이번 혁신안에서 보안 인력을 2배로 늘이겠다며 보안 인력 충원과 양성에 대한 의지도 내비쳤다. 그동안 보안업계에서 인력 수급 부족 문제는 계속해서 지적됐던 사안이며, 양질의 인력이 부족해 산업 발전이 미비하다는 평가가 나올 만큼, 인력 문제는 국내 보안 생태계 개선을 위해 필요한 과제 중 하나다.
권 교수는 보안 인력 확보 문제에 대해 “인력 부족은 정말 맞는 말”이라고 짚으면서도 ”인력이 없다고만 하지 말고, (업계에서) 처우를 개선해줘야 한다“고 지적했다.
그는 “보안 인재가 없는 이유는 보안에 대한 투자를 그냥 비용으로 생각하는 문화가 강하기 때문”이라며 “보안 인력에 대한 투자를 회사를 위한 전략적인 관점에서 봐야 하는데, 실제로 기업들의 인식은 그렇지 못하다. 사고가 났을 때만 잠깐 고용해서 쓰고 내보내는 경우가 많다”고 지적했다.
과학기술정보통신부의 ‘2024년 사이버 보안 인력 수급 실태조사’ 자료에 따르면, 사이버보안 인력이 필요하다고 응답한 기업은 전체의 8.7%에 그쳤다. 또한, 국내 사이버보안 인력 7만9509명 중 보안 업무만을 전담하는 비중은 전체의 28.4%에 불과했으며, 다른 업무까지 겸업하는 인력이 63.8%였고 외부 인력을 사용하는 경우가 7.8%였다. 이는 공격자가 침투하기 쉬운 환경이 그대로 방치되고 있음을 시사한다.
권 교수는 전문해커 등 유능한 보안 인재의 중요성을 피력했다. 특히, 화이트해커를 예로 들며, ”유능한 화이트해커 한 명이 수십 명의 평범한 인력보다 높은 능력을 발휘하는 시대인 만큼, 우수한 보안 인재에 대한 투자와 처우도 개선돼야 한다”고 강조했다.
보안 산업, ”이젠 국가 전략 산업으로 육성해야”
권 교수는 보안 분야를 단순한 IT 부문의 일부가 아닌 방위산업 수준의 전략 산업으로 격상시켜야 한다고 강조하면서, 자문위원단으로서 SK그룹 측에 이런 의견을 계속해서 강하게 전달할 계획이라고 밝혔다.
그는 “우리는 국제 해커 대회에서 1등하는 나라이지만, 보안의 산업화는 여전히 미진하다. 방산 산업처럼 국가가 적극적으로 나서서 해외로 수출까지 하는 등 국가 전략 산업으로 키워야 한다”고 강조했다.
최근 정부와 국회, 일부 보안업계에서는 보안 산업을 국가 차원의 전략 산업으로 육성하려는 움직임이 일부 나타나고 있다. 국회 과학기술정보방송통신위원회는 올해 초, ‘정보보호산업진흥법’ 개정 논의 과정에서 보안 산업을 AI·반도체 등과 함께 ‘국가 산업 경쟁력의 핵심‘으로 분류했으며, 과학기술정보통신부 역시 ‘글로벌 보안 시장 진출을 위한 기반 조성‘을 주요 과제로 삼았다.
하지만, 여전히 현실은 녹록지 않다는 시각이 강하다. 넘어야 할 과제가 많기 때문이다.
끝으로, 권 교수는 “SKT 사태를 계기로, 지금이 바로 기업과 국가가 보안 전략을 근본부터 다시 짜야 할 시점”이라며 “인공지능(AI)까지 동원된 사이버 전쟁 시대에는 한 기업의 해킹 피해가 국가 산업의 위기로까지 확산될 수 있다. 공공과 민간, 학계와 산업계가 함께 보안 생태계를 키우지 않으면, 다음 피해자는 우리나라, 우리 회사가 될 수 있다”고 강조했다.
한편, 권 교수는 김대중 정부 당시 처음 추진된 전자정부 구축에 참여했으며, 전자정부법, 개인정보보호법, 공공데이터법 등 법 제도를 제정하는 데 기여했다. 전 정부에서는 디지털정부혁신위원장을 맡기도 했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
[무료 웨비나] 아이덴티티 보안 없는 보안 전략은 더 이상 안전할 수 없습니다
◎ 일시 : 2025년 7월 15일 (화) 14:00 ~ 15:30
◎ 장소 : https://bylineplus.com/archives/webinar/53537
