"정보보호에 7000억원 투자"…LG유플러스도 '보안' 사활

거버넌스·예방·대응 3단계 보안체계 강화
"2027년까지 특화 제로트러스트 완성"
보이스피싱 예방 풀패키지 구축 목표

홍관희 LG유플러스 정보보안센터장이 보안퍼스트 전략을 소개하고 있다. 사진=LG유플러스

LG유플러스가 3대 보안 체계와 보이스피싱·스미싱 예방 풀패키지를 중심으로 한 보안퍼스트 전략을 공개했다. 민관협동 보안 협의체 구성을 제안하고 보이스피싱·스미싱 피해 근절을 위한 방안도 함께 제시했다.

LG유플러스는 29일 용산사옥에서 보안 전략 간담회를 열고 이 같은 내용을 골자로 한 보안 분야 계획을 발표했다. 홍관희 LG유플러스 정보보안센터장(CISO·CPO, 전무)은 "앞으로도 전략적 투자로 빈틈없는 보안을 실현하고 고객이 체감할 수 있는 보안을 제공하는 통신사로 나아갈 것"이라고 말했다.

LG유플러스는 5년간 정보보호 분야에 약 7000억원을 투자하기로 했다. 한국인터넷진흥원(KISA) 정보호공시에 따르면 회사는 지난해 정보보호 분야에 약 828억원을 투자했다. 이는 전년보다 31.1% 증가한 수준으로 올해도 30% 이상 투자를 확대할 계획이다.

2023년 7월 신설한 최고경영자(CEO) 직속 보안전담조직인 정보보안센터도 고도화한다. △보안 거버넌스 △보안 예방 △보안 대응 등 3대 축을 중심으로 보안 체계를 강화한다는 계획이다.

보안 거버넌스는 사내 보안 전담조직인 정보보안센터를 중심으로 완성 단계에 있다. 정보보안센터는 독립적 위치에서 전사 정보보호를 총괄한다. 홍관희 센터장은 경영위원으로서 보안을 포함한 사내 주요 의사 결정 과정에 참여하고 있다.

해킹 등 내부 정보를 겨냥한 사이버 위협에 대비하기 위한 작업도 실시한다. LG유플러스는 내부 체계를 자체 점검하는 것에 이어 지난해 11월부터 진행 중인 역대 최장기간 블랙박스 모의해킹을 진행하고 있다. 블랙박스 모의해킹은 외부 화이트해커 집단에 자사 모든 서비스에 대한 해킹을 의뢰해 잠재된 취약점을 발굴하는 방식으로 진행된다. 어떠한 사전 정보도 공유하지 않은 채 외부 전문가에 의해 실전처럼 보안성을 확인하는 게 특징이다.

LG유플러스는 모의해킹을 내년 상반기까지 연장하는 등 지속해서 취약점 탐색에 나설 계획이다. 홍 전무는 "국내에서 비슷한 규모를 찾기도 힘들 정도로 최장기간 모든 수단을 동원해 위험 요소를 찾는 작업"이라며 "외부에서 노릴 수 있는 공격 표면을 최소화해 고객이 안심하고 자사 서비스를 이용할 수 있도록 하는 것이 목표"라고 말했다.

보안 대응 고도화를 위해서는 인공지능(AI) 기반 관제 체계를 지속해서 강화한다. 특히 2027년까지 LG유플러스에 특화된 제로 트러스트(모든 접근을 신뢰하지 않고 항상 검증을 수행하는 보안) 모델을 구축한다.

LG유플러스는 서비스형 소프트웨어(SaaS), 개방형 클라우드 등을 활발히 사용하는 업무 환경에 맞춰 ‘구축-확산-안정화’로 이어지는 단계별 제로 트러스트 로드맵을 마련하고 관련 인프라를 구축하고 있다. 2027년 안에 AI로 비정상적 접근 통제와 이상 행위 탐지 조치를 전면 자동화해 선제적 보안 체계를 확보하겠다는 목표다.

LG유플러스는 고객 보안 서비스인 보이스피싱·스미싱 범죄 피해 예방 풀패키지도 선보였다. 보이스피싱 범죄가 매년 늘어나면서 예방책이 절실한 상황. 경찰청에 따르면 지난해 보이스피싱 피해액은 전년 대비 약 2배인 8545억원에 달했다. 올해 상반기 피해액은 6421억원에 이른다.

LG유플러스는 모니터링부터 범행 대응·긴급 대응까지 단계별 보안책을 마련했다. 향후 범죄 조직의 실제 통화 패턴을 AI에 학습시켜 피해 우려가 큰 고객에게는 경찰 등이 즉시 보호를 제공할 수 있는 시스템을 구축할 계획이다.

특히 LG유플러스는 국내 통신사 중 유일하게 범죄 조직이 운영하는 악성 앱 서버를 직접 추적하는 기술을 가지고 있다. 이날 회사는 최초로 실제 보이스피싱 조직이 악성 앱 서버를 통해 악성 앱이 설치된 스마트폰을 장악하는 방식을 직접 시연하는 방식으로 자사 고객 보안 서비스를 소개했다.

보이스피싱 등 민생 사기 근절을 위해 민관협동 정보보안 협의체 구성도 제안했다. LG유플러스는 앞서 경찰에 단순히 정보를 제공하는 것을 넘어 업계 최초로 서울경찰청과 현장 공조 체계를 구축했다. 피해 예상 고객 방문에 동행해 현장에서 악성 앱을 검출하는 등 실질적인 보호 활동에 나서는 식이다.

경찰청과도 보이스피싱 범죄 확산 방지를 위한 민관 협력 캠페인을 진행 중이다. 이 외에도 과학기술정보통신부, 방송통신위원회, 개인정보보위원회, 국립과학수사연구원 등과 보안을 위한 다각도로 협업하고 있다.

박수빈 한경닷컴 기자 waterbean@hankyung.com