[아이티데일리]ㅡ 2025년 4월 SK텔레콤의 2,300만 명 유심 정보 유출 사태는 정보기술(IT) 관련 국내 최고 수준의 기술력을 보유했다고 여겨지던 회사의 실체를 적나라하게 보여줬다. 특히 서버에 심어진 악성코드들을 수 년간 발견하지 못했다는 점과, 중요 정보인 고객 개인정보를 수천만 건 보관하면서 암호화조차 하고 있지 않았다는 사실은 도저히 이해되지 않는 부분이다. 도대체 정보보호를 위한 ‘큰 그림’이라는 게 있기는 했던 것인지, 의문에 의문만이 남을 뿐이다.

이런 점에서 이번 사고는 기업 보안 거버넌스의 근본적 취약점을 적나라하게 드러낸 것으로 평가받는다. 특히 다수의 보안 업계 관계자들은 공통적으로 정보보호 최고책임자(CISO) 제도가 형식적 장치에 머물러 있다는 점을 지적했다. 본격적으로 시행된 지 몇 년 되지 않았기 때문이기도 하겠지만, 현재 국내 CISO는 ‘최고’라는 직함과 실제 권한 사이의 괴리가 극심한 것이 현실이다. 

기업 경영진들은 보안보다는 상품 및 서비스 판매를 위한 마케팅이 우선이며, 손쉬운 고객 정보 활용을 위해 보안을 거추장스러운 것으로 여기고 있다. 자연스레 CISO는 책임만 막중할 뿐, 예산 집행이나 채용 확대 권한은 최소한으로 가진 직함이 됐다. CISO가 거느린 보안 조직의 중요성은 낮게 취급받고 있으며, 최신 보안 장비 도입이나 인력 충원 건의는 “그게 지금 최우선으로 진행돼야 하나?”, “꼭 필요한가?”라는 의문문으로 돌아온다.

SK텔레콤 역시 이번 사태로 전년 대비 삭감된 보안 예산을 지적받았다. CISO가 경영진 회의에 참석했다 하더라도 보안 예산 삭감 결정을 뒤집을 수는 없었을 것이다. 실제 지난해 한 국내 금융사 CISO가 제로 트러스트 보안 체계 도입을 추진하려 했으나, 예산 문제로 무산되는 일도 있었다. 이 CISO는 “흔한 일”이라며 쓴웃음을 지었다고 한다. CISO가 받는 대우가 이렇다 보니 자연히 업무 의지나 실제 역량도 하향곡선을 그릴 수밖에 없다. CISO의 근속기간이 해외 대비 짧은 데는 이유가 있다.

이번 SK텔레콤 사고를 기점으로 CISO 권한 강화와 이사회의 보안 인식 전환을 촉구한다. 회사 전체에 제로 트러스트 기반의 빈틈없는 보안 체계를 구축해야 할 시점이며, 이를 위해서는 전권을 가진 CISO가 향후 몇 년간 혁신을 주도해야 한다. 권한 없는 책임은 업무 회피와 나아가 총체적 재앙을 부른다. 그리고 보안은 비용이 아니라, 기업의 미래 생존을 위한 필수 보험이다.