"많다고 잘한다는 건 아냐" 보안 투자의 역설…상위 5위 기업 중 4곳 털렸다

등록 2025.12.31 06:01:00수정 2025.12.31 06:38:24

과기정통부, '정보보호 공시 현황 분석보고서' 공개 봤더니

KT·쿠팡·LGU+·SKT, 국내 보안투자 랭킹 5순위에 포함

공시와 실제 보안 수준 간 괴리 드러나

보안 전문가들 "투자액·전문인력수 보단 실질적인 관리체계 더 중요"

[서울=뉴시스] 김선웅 기자 = 김범석 쿠팡 Inc 의장이 오는 30일부터 이틀 간 진행되는 국회의 쿠팡 연석 청문회에 재차 불출석 의사를 밝히면서 책임 회피 논란이 거세지고 있다. 또한 쿠팡은 29일 대규모 개인정보 유출에 대한 보상안을 발표했다.

발표된 보상안에 따르면 인당 5만원씩, 피해고객 3370만 명에게 총 1조6850억원을 지급한다. 다만 이는 실제 화폐 5만원이 아닌 쿠팡 서비스별 구매 이용권으로 실질적인 보상이 아닌 '판촉 행사를 통한 소비자 기만'이라는 비판이 나오고 있다. 사진은 29일 서울 송파구 쿠팡 본사 건물 앞에 걸린 쿠팡 규탄 현수막. 2025.12.29. [email protected]

[서울=뉴시스]윤정민 기자 = 올해 정보보호 부문에 예산을 많이 투입한 국내 상위 5개 기업 중 4곳이 올해 개인정보 유출 사고로 홍역을 치르고 있다. 현장에서 정보 보호 관리 체계가 제대로 운용되지 되지 않을 경우 보안 시스템·장비 투자가 많았더라도 무용지물이 될 수 있음을 경고하는 지표다.

31일 과학기술정보통신부가 발표한 '2025년 정보보호 공시 현황 분석보고서'에 따르면 올해 정보보호 투자액 부문 상위 기업 5곳은 삼성전자(3478억원), KT(1250억원), 쿠팡(890억원), LG유플러스(828억원), SK텔레콤(652억원)이다.

[서울=뉴시스] 30일 과학기술정보통신부가 발표한 '2025년 정보보호 공시 현황 분석보고서' 내 전 업종 정보보호 투자액(위), 전담 인력(아래) 상위 기업 목록 (사진=보고서 캡처) *재판매 및 DB 금지

이 중 삼성전자를 제외한 기업 4곳이 사이버 침해사고로 이런 저런 홍역을 치뤘다.

KT의 경우 지난 8월 불법 기지국 장비를 활용한 범죄 피해로 가입자 2만2227명의 개인정보가 유출됐다. 이 가운데 368명은 약 2억4000만원 규모의 무단 소액결제 피해를 입었다.

민관합동조사 결과에 따르면 정작 보안 시스템 투자 대비 통신운용관리 체계는 허술했던 것으로 밝혀졌다. 19만여개의 펨토셀이 모두 동일한 이증서를 사용해 정상 펨토셀이 아니더라도 KT망에 접속할 수 있었다. 암호화 조치도 부실했다.

쿠팡은 지난달 3370만명 규모의 개인정보 유출 사고를 냈다. 퇴직 직원 계정을 즉시 차단하지 않는 등 기본적인 보안 수칙에 해당하는 내부 계정 관리·접근 통제가 미흡했던 점이 직접적인 사고 원인이다.

SK텔레콤은 지난 4월 가입자 2696만여명의 개인정보 25개 항목 유출 사고를 겪었다. 가입자식별번호(IMSI), 단말기식별번호(IMEI) 등 개인을 특정할 수 있는 핵심 정보까지 포함되자 유심 교체를 위해 대리점마다 긴 줄이 늘어서는 이른바 '유심 대란'이 벌어졌다.

LG유플러스의 경우 최근 민관합동조사 결과 회사 내부 서버에서 서버목록, 서버 계정정보, 임직원 성명 등 정보가 유출된 사실이 확인됐다. 다만 사고와 관련된 서버 폐기 의혹이 있어 경찰 수사를 앞두고 있다.

투자 늘렸지만 사고는 못 막았다…쿠팡·LGU+의 공통점

[서울=뉴시스] 30일 과학기술정보통신부가 발표한 '2025년 정보보호 공시 현황 분석보고서' 내 증가액 기준 정보보호 투자액 증가 상위 기업 목록 (사진=보고서 캡처) *재판매 및 DB 금지

쿠팡은 올해 정보보호에 890억원을 썼다. 전년(660억원) 대비 230억원 증가한 규모로 삼성전자 다음으로 증가 폭이 컸다. 정보보호 전담 인력도 늘렸지만 3370만여명 개인정보 유출 사고를 막지는 못했다.

쿠팡은 정보보호 전담 인력 증가 상위 기업에서도 9위를 기록했다. 쿠팡의 올해 정보보호 전담 인력 수는 211.6명으로 지난해보다 20.7명 늘었다.

하지만 대규모 투자·인력 확대에도 불구하고 쿠팡은 기본적인 계정 관리, 접근 통제, 내부 통제 체계가 제대로 작동하지 않아 개인정보 유출 사고를 냈다.

LG유플러스도 정보보호 투자 증가액 부문 3위, 전담 인력 증가 부문 1위에 올랐다. 이 회사는 올해 정보보호 투자에 828억원을 투입하며 지난해보다 197억원을 더 썼다. 전담 인력 증가폭도 135.4명에 달했다. 2위 LG CNS(70.1명)의 약 2배 수준이다.

하지만 이 기업도 사이버 침해 사고 위협에 벗어나지 못했다. 대규모 투자와 인력 확충에도 불구하고 내부 관리 체계에 허점이 드러났다는 비판을 피할 수 없게 됐다.

정보통신업, 투자·인력 늘려도 사고는 반복됐다

[서울=뉴시스] 30일 과학기술정보통신부가 발표한 '2025년 정보보호 공시 현황 분석보고서' 내 정보통신업계 정보보호 투자액(위), 전담 인력(아래) 상위 기업 목록 (사진=보고서 캡처) *재판매 및 DB 금지

정보통신업은 업종별 평균 정보보호 투자액 부문 2위(62억원), 업종별 평균 정보보호 전담 인력 부문 1위(25.4명)를 차지했다. 대규모 이용자 데이터를 처리하고 침해 사고 발생 시 사회·경제적 파장이 큰 산업 특성상 규제·감독과 시장 압력이 동시에 작용한 결과로 풀이된다.

이를 반영하듯 정보통신업계 기업이 정보보호 투자액 부문 상위 10대 기업에 5곳, 전담인력 부문 상위 10대 기업에 7곳이나 이름을 올렸다.

특히 정보통신업 안에서도 SK텔레콤, KT, LG유플러스 등 이동통신3사는 정보보호에 상대적으로 많은 예산과 인력을 투입했다. 투자액의 경우 KT, LG유플러스, SK텔레콤이 1~3위를 나란히 차지했다. 인력 부문에서도 LG유플러스(292.9명)가 2위, KT(290.2명)가 3위, SK텔레콤(219.2명)이 5위에 올랐다.

하지만 이러한 노력에도 이통3사 모두 올해 대형 사이버 침해사고에 대응하지 못했다.

올해 기업 정보보호 투자액 2.4조원…전년 대비 14.3% ↑

[서울=뉴시스] 30일 과학기술정보통신부가 발표한 '2025년 정보보호 공시 현황 분석보고서'에 따르면 정보보호 투자액과 정보보호 전담인력 증가율은 각각 14.3%, 10.7%다. (사진=과학기술정보통신부 제공) *재판매 및 DB 금지

한편 올해 국내 기업들의 정보보호 투자액은 2조4230억원, 정보보호 전담인력은 8506.1명으로 나타났다. 전년 대비 증가율은 각각 14.3%, 10.7%다.

하지만 보안 업계에서는 투자액과 인력 수 자체보다 현장에서 사고를 실제로 막아낼 수 있는 운영·통제 체계가 제대로 작동하느냐가 관건이라는 의견이 나오고 있다. 대형 사고를 겪은 기업일수록 공시 수치와 현장 대응 사이의 괴리를 면밀히 점검해야 한다는 지적이다.

◎공감언론 뉴시스 [email protected]