[일문일답] LG유플 "2029년까지 정보보호에 7천억 투입..최우선은 '제로 트러스트'"

[포쓰저널=김지훈 기자] LG유플러스가 향후 5년간 총 7000억원을 정보보호에 투자하며 보안 경쟁력을 강화한다.

LG유플러스는 29일 용산사옥에서 보안 전략 간담회를 개최, 3대 보안 체계와 보이스피싱·스미싱 예방 풀패키지를 중심으로 한 보안퍼스트 전략을 공개하, “보이스피싱 피해 예방에 진심인 통신사가 되겠다”는 목표를 제시했다.

이를 위해 향후 5년간 제로 트러스트(모든 접근을 신뢰하지 않고 항상 검증을 수행하는 보안) 구축, 공격 표면 최소화, AI(인공지능) 기술 활용 관제 대응, 암호화 등에  7000억원을 투입한다. 

홍관희 LG유플러스는 정보보안센터장(CISO/CPO, 전무)은 “지난해 정보 보호 투자 규모는 약 800억원에 달했으며, 올해는 1200억~1300억원을 투자할 예정”이라며 “매년 최소 1200억~ 1500억원 이상을 지속 투자하겠다”고 말했다.

다음은 LG유플러스 보안 담당 임원진과의 일문일답.

-정보보호분야에 7000억원을 투자한다고 했는데, 구체적인 투자 계획은.

▶(홍 센터장) 제로 트러스트 구축에 가장 많은 돈을 사용하게 될 것이다. 그 다음으로는 공격 표면 최소화, AI 활용 관제대응뿐만 아니라, 이용자 사생활 보호(프라이버시) 영역에도 재원이 투입된다. 또 컴플라이언스 준수 관점에서 점검 개선 비용에도 사용된다.

-정보 보안 체계 강화를 위해 해외 기업들과 정보 교환이나 협력 계획은 .

▶(홍 센터장) 해외 여러 보안 업체와 구글, 아마존과 협력을 진행 중이고, 최근에는 해외 통신사들과의 협력도 필요하다고 생각한다. 해외 통신사들과 접촉을 해서 협업할 수 있는 부분이 있는지 검토하고 있다.

-핸드폰 제조사와의 협력 계획은.

▶(홍 센터장) LG유플러스 뿐만 아니라 대통령실 차원에서도 보이스피싱, 스미싱 관련해서 통신사와 제조사 간의 헙업이 진행되고 있다.

-제로 트러스트 구축을 위해 외부 컨설팅을 받았나. 성숙도 평가는.

▶(홍 센터장) 지난해 외부 글로벌 기업을 통해 LG유플러스의 현황 분석과 향후 전략에 대해 약 6개월 동안 컨설팅을 진행했다. 올해는 KISA가 운영하는 제로트러스트 컨설팅에 신청했고, 다음 달부터 한달 정도 기간동안 컨설팅을 받을 예정이다.

2023년부터 내부 정보보호 성숙도 평가를 지속하고 있으며, 2027년 글로벌 평균이 되는 것을 목표로 하고 있다.

-최근 SK텔레콤 해킹사태와 관련해서 업계 관계자로서 해당 사안을 어떻게 바라보고 있나.

▶(홍 센터장) 통신사 특성상 더 이상 추가 위협이 없다고 말하기는 어렵다고 생각한다. 항상 끊임 없이 위협이 노출돼 있는게 사실이다. LG유플러스는 유사한 사태가 발생하게 되면, 사회적 기업으로서 책임을 이행하고 대응할 예정이다.

-거버넌스 측면에서 핵심성과지표(KPI) 도입 계획은.

▶(홍 센터장) 2023년 LG유플러스는 보안 조직을 최고경영자(CEO) 직속 조직으로 재편했다. 보안 조직을 단순히 CEO(최고경영자) 직속으로 둔다고 위상이 강화되는 것은 아니다. 정보보안 관련 KPI는 지난해부터 반영했고, 올해는 조금 더 확대하고 있다.

-AI(인공지능)에 학습되지 않은 새로운 악성 앱에 대한 대처 방안은.

▶(홍 센터장) 신규 악성앱은 기존 데이터가 없어서 대응이 쉽지 않다. 그래서 경찰과 협업을 통해 피해 현장에 동행해 직접 악성앱을 보고 여기서 얻은 데이터를 분석해 대응하는 자료로 사용한다.

-'국내 통신사 중 유일하게 악성앱을 추적한다’고 설명했는데, 해당 서버 차단도 가능한가.

▶(오신영 정보보안센터 사이버위협대응팀장) 악성 앱의 메인 서버를 LG유플러스가 임의로 차단하는 것은 조심스러운 부분이 있다. 감염 단말기로 피해를 받고 있는 이용자가 있으면 먼저 경찰청과 공유해 경찰 수사권을 바탕으로 차단하는 방식을 염두에 두고 있다.

-공격 표면 최소화 전략은.

▶(홍 센터장) 보안 취약점을 자동으로 탐지할 수 있는 시스템을 강화하는 것이 핵심이다. EDR(단말기 위협 탐지·대응), NDR(네트워크 기반 위협 탐지·대응) XDR(확장 탐지·대응) 등 기술적인 보안 강화에 힘쓸 계획이다.

-보이스피싱에 특화된 민관협의체 관련 구체적인 계획은.

▶(홍 센터장) 정보보안 강화는 통신사 홀로 할 수 없는 일이다. 정부·제조사·금융사·통신사 함께 다 모여서 힘을 합쳐야 한다는 의미다. 과학기술정보통신부(이하 과기정통부)를 비롯한 제조사 등과 협업을 위한 회의를 진행하기는 했으나, 모두가 합심해 머리를 맞댄 적은 없다. 다수 기관이 힘을 합쳐야 한다는 생각으로 민관협의체를 제안했다.

-SK텔레콤 해킹 사태 이후 관련 법안이 발의되고 있는 상황인데, LG유플러스는 이를 어떻게 보고 있나.

▶(홍 센터장) 규제라는 것은 최소한 지켜야할 요건이지 최선이 아니다. 홍범식 LG유플러스 대표도 컴플라이언스 이야기를 하면서 ‘규제는 미니멈’이라고 강조한다. 단순히 규제를 지키는 선에서 그치지 않고 자체적인 보안 역량을 높이는데 집중하겠다.

-LG유플러스 매장에 배치한 보안 전문 상담사는 어떤 기준으로 선정했나.

▶(오 팀장) 보안 전문상담사 배치를 위해 관련 업무 지식이 있는 영업 직원을 대상으로 사전 교육을 실시했다. 별도로 3차례 교육을 진행했고, 이들이 현장에서 피해 고객에 대응할 수 있도록 체크리스트와 메뉴얼을 제공하고 있다.