홍관희 LG유플러스 CISO “보안, 투자 규모보다 중요한 건 실행력”
[IT동아 김예지 기자] “보안 사고의 원인 중 하나는 거버넌스(governance, 특정 조직이나 사회 시스템에서 의사 결정 및 운영을 관리하고 통제하는 방식) 부재다. 투자 규모보다 중요한 건 실질적인 결과로 이어지는 경영진의 의지와 실행력이다. 1조 원을 쓴다 해도 고객이 체감하지 못하는 보안이라면 의미가 없다”
홍관희 LG유플러스 최고정보보안센터장(CISO/CPO, 전무)은 LG유플러스 서울 마곡사옥에서 진행된 IT동아와의 인터뷰에서 이같이 말했다. 그는 LG유플러스의 차별화되는 보안 전략으로 ‘보안 거버넌스’ 구축을 강조했다.
지난 7월 LG유플러스는 ‘보안 퍼스트’ 전략을 발표하며 보안 경쟁력 강화에 대한 비전을 제시했다. 골자는 ▲보안 거버넌스 ▲보안 예방 ▲보안 대응의 3대 보안 체계와 보이스피싱·스미싱 예방 풀패키지의 구축이다. 이와 함께 LG유플러스는 향후 5년간 정보보호 분야에 7000억 원을 투자한다는 계획을 밝혔다. 나아가, 민간과 공공이 참여하는 민관협동 정보보안 협의체 구성을 제안했다. IT동아는 홍관희 센터장에게 LG유플러스의 보안 전략에 대해 자세히 물었다.
투자 규모보다 실행력으로 증명하는 보안
최근 통신 업계를 겨냥한 사이버 공격이 빈번해지면서 보안 강화는 업계 최대 화두로 떠올랐다. 통신사를 대상으로 한 사이버 공격은 단순한 개인정보 유출을 넘어 스마트폰에 담긴 통화 기록·위치 정보, 문자메시지 등 민감한 정보를 노린다는 점에서 더욱 위험하다. 그러나 통신사는 방대한 서비스로 인해 외부 접점이 많아 공격에 취약할 수 밖에 없어 보안이 무엇보다 중요한 요소로 꼽힌다.
LG유플러스는 지난해 828억 원을 보안에 투자했고, 올해 1200억 원을 비롯해 향후 5년간 총 7000억 원을 투자할 계획이다. 정보보호 전담 인력도 2023년 157.5명에서 2024년 292.9명으로 늘렸다. 홍관희 센터장은 “올해는 제로 트러스트(Zero Trust) 보안 구축을 중심으로 PC, 서버, 네트워크, 보안 관제 인프라, 개인정보 처리 시스템 등 다양한 분야에 투자했다”고 밝혔다.
제로 트러스트는 내부망까지 침투하는 최근 해킹 트렌드에 대한 본질적인 대응책으로 꼽힌다. 홍관희 센터장은 “지난해 PC부터 시작해 올해 하반기부터 서버, 네트워크, 애플리케이션 등 핵심 영역으로 확대했다. 2027년까지 제로 트러스트 모델 기반을 완성하고, 이후에도 지속적으로 고도화할 계획”이라고 말했다. 이를 위해 한국인터넷진흥원(KISA) 등 외부 전문가의 지원도 적극 활용한다는 설명이다.
그러나 홍관희 센터장은 단순히 보안 투자 규모를 강조하지 않는다. 그는 “LG유플러스가 강조하는 보안의 지향점은 실행력이다. 보안 조직을 만들고 장비 및 기술을 갖추는 것뿐만 아니라 이를 최신 공격에 맞게 최적화했는지, 운영 인력은 제대로 활용할 수 있는지 등이 더 중요하다”며, “아무리 비싼 장비라도 위협을 탐지하지 못하면 무용지물”이라고 말했다.
보안을 KPI로 만든 유일한 통신사
실제로 LG유플러스는 2023년 보안 사고 이후 근본적인 변화를 시도해 보안 거버넌스를 구축했다. 홍관희 센터장은 “보안전담조직 정보보안센터를 CEO 직속으로 재편하고, 이사회 보고를 정례화했다. CISO는 독립적 위치에서 정보보호를 총괄하며, 경영위원으로서 사내 주요 의사 결정 과정에 직접 참여한다”고 말했다. 또한 LG유플러스는 경영회의와 별도로 매주 기본기(보안·품질·안전) 점검 회의를 진행하며, 매년 백서를 통해 보안 활동을 투명하게 공개하고 있다. 지난 4월에는 경영진이 직접 참여하는 개인정보 유출 모의 해킹 훈련을 진행했다.
핵심성과지표(KPI)에 보안 항목을 반영한 점도 눈에 띈다. 홍관희 센터장은 “보안 강화 전략에는 경영진의 의지가 중요하다. LG유플러스는 임원의 성과금 산정 시 보안 평가를 기준으로 차등을 둔다. 이로써 임원에게 보안을 기업 운영 전반의 중심으로 끌어올리도록 한다”고 설명했다.
특히 LG유플러스는 고객이 실제로 체감할 수 있는 보안에 방점을 찍는다. 대표적인 사례가 보이스피싱·스미싱 범죄 피해 예방을 위한 풀패키지다. 홍관희 센터장은 “보이스피싱·스미싱 대응을 보안 조직이 맡는 건 통신사 중 LG유플러스가 유일하다. 통신 단에서 1차로 예방하고, 익시오(ixi-O)에서 온디바이스 AI 기술을 활용해 실시간 보이스피싱을 막고 있다”고 설명했다. 고객 삶을 직접적으로 위협하는 보이스피싱·스미싱에 대응하는 것처럼 보안의 성과는 고객 경험에서 판가름 난다는 것이다.
내부 시스템 방어뿐만 아니라, 공급망 보안 강화도 거버넌스의 일환이다. 홍관희 센터장은 “LG유플러스는 보안 수준이 취약한 외주 협력사 네트워크로 보안을 확장했다. 협력사를 통한 공격에 대비해 보안성 검사 프로세스를 도입, 신규 솔루션 적용 시 반드시 검증을 거친다. 향후에는 1년에 1-2회 진행하는 업데이트를 시스템 전반에 도입할 계획이다”고 말했다.
이러한 노력을 인정받아 LG유플러스는 지난 8월 ‘제24회 정보보호 대상’에서 최고상인 대상(과학기술정보통신부 장관상)을 수상했다고 밝혔다. 이는 과학기술정보통신부가 주최하고 한국정보보호산업협회(KISIA)가 주관하는 시상식으로, 정보보호 분야에서 우수한 성과를 거둔 기업·기관·개인에게 상을 수여한다. LG유플러스의 정보보호대상은 올해가 처음으로, 이번 수상은 국내 통신사 중 유일한 수상이라는 점에서 의미가 있다.
정부-민관 협력으로 국내 보안 생태계 발전 모색
LG유플러스의 보안 철학은 자사 방어에만 머물지 않고, 국내 보안 생태계 전체의 발전으로 향하고 있다. LG유플러스는 올해 초까지 보이스피싱 근절을 위해 경찰청·서울경찰청과의 현장 공조체계를 구축한 바 있으며, 지난 8월 22일에는 경찰청과 AI 기반 민생범죄 예방 업무협약을 새롭게 체결하고 고객 현장 대피소 등 긴급 대응 체계를 구축했다. 더불어 과기정통부, 방송통신위원회, 개인정보보호위원회 등 다양한 정부 기관과 협업하고 있다.
이를 바탕으로 홍관희 센터장은 통신사·제조사·플랫폼사 등 민간 기업과 정부의 민관협동 정보보안 협의체 구축을 제안했다. 그는 “보이스피싱은 특정 통신사만의 문제가 아니다. 피해 예방을 위해 위협 정보를 신속하게 공유하는 게 중요하다”고 주장하며, “과기정통부와 논의를 시작했고, 보이스피싱이 정부 국정 과제로 지정될 만큼 사회적 중요성이 커졌기 때문에 구체화될 수 있을 것”이라고 덧붙였다.
홍관희 센터장은 이를 위해 현행 시스템의 한계를 극복해야 한다고 지적했다. 그는 “현재는 통신사가 악성 IP를 발견해도 법적 근거가 없어 KISA 절차를 거치느라 대응이 지연되고, 즉각적인 조치가 어렵다”며, “해외의 ‘ISAC(특정 산업 분야의 기업/기관이 위협정보, 차단 IP, 악성 도메인 등을 공유하기 위한 협업 조직)처럼 국내도 위협 정보를 자발적으로 공유하는 문화가 생겨야 한다”고 말했다.
한편, 기업의 거버넌스만큼 정부의 제도적 지원도 중요하다. 최근 정부는 통신사의 서버·인증 장비를 정보통신기반시설로 지정하는 방안을 추진 중이다. 이에 대해 홍관희 센터장은 “전체 보안 수준 향상에는 효과적이지만, 단기간에 모든 장비를 점검·개선하기는 현실적으로 어렵다”며 2~3년의 완충 기간이 필요하다고 강조했다. 또한 개인정보보호 통합 관리체계(ISMS-P) 인증 의무화에 대해 “단순히 체크리스트 심사를 넘어 기업의 운영 문화와 거버넌스 등 실질적인 항목 전반을 평가하는 방향으로 발전해야 한다”고 제언했다. LG유플러스는 2019년부터 ISMS-P 인증을 유지하고 있다.
마지막으로 홍관희 센터장은 “LG유플러스의 목표는 통신 시장에서 보안을 가장 잘 하는 것”이라며, “LG유플러스의 성공적인 보안 혁신 사례가 다른 기업에게도 긍정적인 자극이 되어 사회 전체의 보안 문화 확산에 기여하기를 바란다”고 말했다. 보안은 이제 더 이상 보이지 않는 비용이 아니라, 기업의 생존을 결정하고 고객의 신뢰를 얻는 가장 강력한 무기다. LG유플러스는 그 길을 숫자가 아닌 경영진의 마음과 실행력으로 증명해 보이고 있다.
IT동아 김예지 기자 (yj@itdonga.com)
