'AI·6G'에 보안까지…국민 파급력 큰 통신사, 수천억 출혈 불가피?

서울 시내 전자상가 휴대폰 판매점에 붙은 이동통신 3사 로고. ⓒ연합뉴스

정부가 기존 자율적으로 운영되던 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 제도를 의무화하기로 하면서 통신사들의 추가 투자가 불가피해졌다.

전문가들은 통신사들이 보안 운영 전반을 현행 보다 섬세하게 구축해야 하므로, 인력·시스템·운영 비용 측면에서 상당한 비용이 들 것으로 예상했다. CISO(정보보호 최고책임자)만큼 CPO(개인정보 보호책임자)의 책임과 권한을 강화해 거버넌스(지배구조)를 재정비하는 계기를 마련해야 한다는 의견도 제기했다.

8일 업계에 따르면 과학기술정보통신부, 개인정보보호위원회 등이 지난 6일 발표한 '인증 실효성 강화 제도 개편안'은 통신사·대규모 플랫폼 등 국민 파급력이 큰 주요 공공·민간 개인정보처리시스템의 ISMS-P 인증을 의무화하고, 사전·사후 심사를 강화하는 것을 골자로 한다.

ISMS 등 정보보호 인증을 획득한 기업에서 유출 사고가 이어지자, 기존 인증 제도의 실효성이 떨어진다는 지적이 제기된 데 따른 후속 조치다.

정부는 유출사고가 발생한 인증 기업 대상으로 이달부터 현장 점검을 실시할 예정이며, 내년 1분기 중 관련 고시를 개정해 단계적으로 시행키로 했다.

정부가 보안 제도 개선에 속도를 내면서 통신사들의 내년 보안 인증 체계와 투자 로드맵도 수정이 불가피할 전망이다.

SK텔레콤·KT·LG유플러스가 향후 5년간 2조4000억원이라는 투자 계획을 내놨지만, 보안 운영 기준이 한층 정교해지면서 인프라·인력 구조 전반에 손질이 필요해졌기 때문이다.

홍준호 성신여대 융합보안공학과 교수는 "정부의 ISMS-P 인증 제도 강화는 보안 전반 체계를 제로 트러스트 기반으로 재편해야 한다는 신호"라고 말했다. 제로 트러스트는 '모든 것은 위협'이라는 전제하에 사용자와 기기의 신원·권한·상태를 지속적으로 검증하는 보안 모델을 말한다.

특히 사후 심사 과정서 중대 결함이 발견될 경우 제재안으로 내놓은 '인증 취소'는 통신사에게 치명타인만큼 재설계가 요구된다.

인증 취소는 곧 '보안 관리체계 미달'이라는 판단으로, 기업 신뢰도에 악영향을 미친다. 재인증 과정에서 시간, 인프라 재정비 비용이 발생하는 것은 물론 공공·민간 대형 사업과 파트너십에서도 불이익이 예상된다.

통신사들의 보안 투자는 실제 공격 시나리오를 전제로 한 기술적 방어 체계 보강에 초점을 둘 것으로 보인다.

정부가 예비 심사 단계에서 취약점 진단·모의침투 등 기술심사와 현장실증 심사를 확대하고, 본심사에서도 서면점검에 더해 코어시스템 중심의 현장실증형 심사를 강화하겠다는 개선 방침에 대한 대응 차원이다.

ⓒ과기정통부

먼저 KT 사례처럼 보안 자산을 제대로 파악하지 못하는 상황을 방지 하기 위해 자산 관리 자동화 시스템(CMDB) 구축에 나설 것으로 보인다. 앞서 KT는 일부 서버를 폐기하거나 신고를 지연했다는 의혹을 받으며, 자사 보안 자산을 제대로 관리하지 못했다는 지적을 받은 바 있다.

이와 함께 AI, 클라우드, 5G 인프라 보안 전문가 등 보안 인력 확충도 예상된다. '제로 트러스트' 및 AI 기반 관제 시스템 구축 시 보안 전담 인력의 이해도 함께 가야 하기 때문이다.

장항배 중앙대 산업보안학과 교수는 "제로 트러스트와 AI 보안을 위해서는 다양한 데이터가 수집돼야 한다. 전체 통신 서비스 및 비즈니스 서비스에 대한 이해 없이는 구현이 어렵다"면서 "해당 분야에 대한 이해를 가진 신규 인력 뿐 아니라 기존 비즈니스 서비스를 제공하는 이들도 재교육 과정을 거쳐야 보안 환경을 제대로 구축할 수 있다"고 말했다.

이어 "이전에는 보안 단위를 커다란 원 단위에서 접근했다면 지금은 작은 원으로 좁혀 컨트롤해야 하기 때문에 비용이 많이 발생할 것"이라고 덧붙였다.

보안 체계 강화에도 불구, 사고 발생이 가능하다는 전제 하에 서비스 이중화·신속 복구 체계·피해자 보상 프로세스 등 ‘회복력(resilience)’에 초점을 둔 투자도 통신사들의 전략에 포함돼야 한다고 장 교수는 강조했다.

홍준호 교수는 AI 모델·데이터·인프라 전 구간의 보안 내재화 투자가 강화될 것으로 내다봤다.

홍 교수는 "상시 심사에 대응하기 위한 전담 조직 운영과 보안 인력 확보는 더 이상 선택이 아닌 필수"라며 "이번 제도 강화는 단기적으로 비용 부담을 늘릴 수 있지만, 장기적으로는 보안이 기업의 신뢰도와 서비스 경쟁력을 결정짓는 핵심 요소가 될 것"이라고 말했다.

그는 이어 인증기관과 심사기관의 인력 및 예산이 확대돼야 실질적인 제도 강화가 가능하다고 덧붙였다.

이번 정부 제도 개선안을 계기로 보안 컨트롤타워인 CISO 만큼이나 CPO 역할도 확대될 것이라는 전망도 나온다.

기업의 보안조직은 통상 기술 대응을 맡는 CISO와 법무·준법을 담당하는 CPO로 나뉜다. 인증 이후 준수해야 할 규정과 절차적 요구가 늘어나면서 법적·컴플라이언스 대응의 비중이 커질 것이라는 관측이다.

한 통신업계 관계자는 "컴플라이언스가 강화되는 부분에 대해서는 따라야할 것"이라고 말했다.

다른 업계 관계자는 "보안 위협 환경의 변화에 따라 기업의 정보자산 보호와 신뢰성 확보를 최우선으로 고려하고 있다"면서 "ISMS-P 인증 제도 전면 개편 등 제도 강화 필요성을 공감하고, 유관기관과의 협력을 통해 선진화된 보안 거버넌스를 구축하기 위해 노력할 것"이라고 답했다.