디지털 전환이 가속화되는 시대에 사이버 보안은 기업 생존의 필수 조건으로 부상한다. 특히 국가의 핵심 인프라를 운영하는 통신사의 보안 허점은 단순한 기업의 문제가 아닌, 사회 전체의 위험으로 직결된다. 최근 발생한 KT와 LG유플러스의 침해사고는 기술적 결함을 넘어선 기업의 거버넌스와 사회적 책임(ESG) 경영 실패 사례로 분석된다. 이는 경영 전략 관점에서 정보보호가 더 이상 IT 부서만의 책임이 아닌, 최고 경영진의 핵심 의무임을 명확히 보여준다.
과학기술정보통신부의 조사 결과에 따르면 KT는 펨토셀 보안 관리 부실로 2만 2천여 명의 가입자 정보 유출과 2억 4천만 원 규모의 금전적 피해를 야기했다. 조사단은 KT의 펨토셀 관리 전반이 부실하여 불법 펨토셀이 내부망에 접속하고 이용자 정보 탈취가 가능했음을 확인했다. 또한 이용자 단말기와 KT 내부망 간 종단 암호화가 제대로 이루어지지 않은 점도 드러났다. 이는 KT가 이용약관상 안전한 통신서비스 제공이라는 주된 계약 의무를 다하지 못한 중대한 과실로 판단되어, 위약금 면제 규정 적용이 가능하다고 정부는 결론 내렸다. 더욱이 KT는 침해사고 발생 후 지연 신고를 하거나 신고 자체를 누락했으며, 정부 조사를 방해하기 위한 고의성이 있다고 판단되어 형사 고발까지 당했다.
LG유플러스 또한 통합 서버 접근제어 솔루션(APPM) 관련 정보 유출 사고가 발생했다. 하지만 KISA의 침해사고 정황 안내 이후 관련 서버의 OS를 재설치하거나 폐기하는 등 부적절한 조치를 취해, 위계에 의한 공무집행 방해 혐의로 경찰청에 수사 의뢰되었다. 이는 기업의 투명성과 책임감 있는 위기 대응 능력 부재를 여실히 보여주는 사례다.
이 두 사례는 정보보호가 단순히 기술적 방어를 넘어선 경영의 핵심 가치이자 전략적 자산임을 시사한다. 정부는 KT에 재발 방지 대책으로 펨토셀 보안 정책 강화, 종단 암호화 설정 유지, EDR 및 백신 등 보안 솔루션 확대, 제로 트러스트 도입, 분기별 취약점 점검, 그리고 정보보호최고책임자(CISO)의 전사적 권한 강화 등 구체적인 조치를 요구했다. 특히 전사 자산 관리 시스템 구축 및 공급망 보안 관리체계 수립은 정보보호가 IT 시스템을 넘어 기업의 전반적인 운영 및 거버넌스 영역임을 강조한다.
사이버 보안 실패는 단기적인 금전적 손실과 법적 제재에 그치지 않는다. 고객 신뢰 하락, 브랜드 이미지 손상, 장기적인 경쟁력 약화 등 회복하기 어려운 파급 효과를 야기한다. 이는 기업의 지속 가능성 측면에서 ESG 경영의 ‘G(거버넌스)’와 ‘S(사회적 책임)’ 요소와 직결되는 문제다. 기업은 정보보호를 단순히 비용으로 인식하기보다, 미래 성장을 위한 필수 투자이자 핵심 경쟁력으로 이해해야 한다. 정부 또한 통신망법 개정을 통한 제재 강화 등 제도 개선을 추진하며 기업의 정보보호 역량 고도화를 강력히 촉구하고 있다. 이제 기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고, 정보보호를 경영의 최우선 가치로 삼아야 할 때다.