2026년 7월 11일 (6)
해킹 사태 후 달라진 법 …통신3사, CISO 중심 보안체계 재편 가속

해킹 사태 후 달라진 법 …통신3사, CISO 중심 보안체계 재편 가속

승인 2026-07-10 06:00:05
Google에서 선호하는 출처로 추가 관심 있는 쿠키뉴스 기사를 Google 검색에서 더 쉽게 만나보세요.
통신 3사 로고. 연합뉴스
통신 3사 로고. 연합뉴스
잇단 해킹 사고를 계기로 정부가 기업의 정보보호 책임을 강화하면서 국내 통신3사 역시 보안 조직 재정비에 속도를 내고 있다. 오는 10월 정보보호최고책임자(CISO)의 권한과 책임이 강화되고, 내년부터는 정보보호 공시 의무 대상도 대폭 확대될 전망이다. 연이은 침해사고로 신뢰 회복이 시급해진 통신3사는 조직과 인력, 투자 체계를 다시 짜고 있다.

9일 과학기술정보통신부(과기정통부) 등 관계부처에 따르면 지난 3월31일 공포된 개정 정보통신망법은 오는 10월1일부터 시행된다. 개정법은 중기업을 제외한 정보통신서비스 제공자가 임원을 CISO로 지정하도록 했다.

다만 통신3사가 CISO를 새로 선임해야 하는 것은 아니다. 현행 시행령도 자산총액 5조원 이상 기업이나 정보보호관리체계(ISMS) 인증 의무기업 중 자산총액이 5000억원 이상인 기업은 상법상 이사를 CISO로 두도록 규정하고 있다. 통신3사는 이미 이 같은 기준에 해당돼 있다.

통신3사에 미치는 핵심 변화는 직급보다 권한과 책임에 있다. CISO 업무에 정보보호 인력 관리와 예산 편성 권한이 추가되고, 이사회에 정보보호 현황을 직접 보고해야 한다. 일정 규모 이상의 정보통신서비스 제공자는 CISO가 위원장을 맡는 정보보호위원회를 설치해야 한다. 위원회는 보안 정책과 투자, 침해사고 대응 등 주요 사안을 심의한다. 구체적인 적용 대상과 운영 기준은 시행령으로 정해질 예정이다.

그동안 일부 기업에서는 CISO를 지정하고도 인력이나 예산에 관한 실질적 권한을 충분히 주지 않는다는 지적이 나왔다. 사고가 발생하면 책임을 지지만, 정작 예방 투자와 조직 운영에는 관여하기 어려운 구조였다. 이번 개정법은 CISO를 단순한 실무 책임자에서 보안 경영의 핵심 의사결정자로 끌어올린 셈이다.

단, 기업이 져야 할 책임도 무거워진다. 사업자의 고의나 중대한 과실로 5년 안에 침해사고가 두 차례 이상 발생하면 연간 매출액의 최대 3%까지 과징금을 부과할 수 있다. 침해사고 의심 정황만으로 정부가 조사에 착수할 수 있는 근거도 마련됐다.

침해사고 신고 기한은 ‘인지한 때부터 24시간 이내’로 명확해진다. 일정 규모 이상의 사고가 발생하면 이용자에게도 지체 없이 알려야 한다. 시정명령을 따르지 않거나 조사를 방해할 경우 이행강제금도 부과할 수 있다.

지난해 SK텔레콤 유심 정보 유출 사고를 시작으로 KT·LG유플러스까지 이어진 연쇄 침해사고와 보안 논란이 잇따른 점도 법 개정을 앞당긴 배경으로 꼽힌다.

KT 개인정보보호 자문위원회 발족식에서 박윤영 KT 대표, 정보보안실장(CISO) 이상운 전무, 개인정보보호그룹장(CPO) 김창오 상무 등 관계자들이 참석해 자문위원들과 개인정보보호 체계 고도화 방향을 논의하고 있다. KT 제공
KT 개인정보보호 자문위원회 발족식에서 박윤영 KT 대표, 정보보안실장(CISO) 이상운 전무, 개인정보보호그룹장(CPO) 김창오 상무 등 관계자들이 참석해 자문위원들과 개인정보보호 체계 고도화 방향을 논의하고 있다. KT 제공
법 시행을 앞두고 통신3사는 보안 조직을 재정비하는 모습이다. SK텔레콤은 기존 정보보호실을 통합보안센터로 격상해 최고경영자(CEO) 직속 조직으로 만들었다. 향후 5년간 정보보호 분야에 7000억원을 투자하고 전담 인력을 기존보다 두 배 늘린다. 회사의 보안 상태를 공격자 관점에서 점검하는 ‘레드팀’도 신설했다.

KT는 정보기술과 네트워크 등 각 조직에 흩어져 있던 보안 기능을 정보보안실로 통합했다. CISO를 중심으로 조직과 인력, 예산을 관리하는 전사 보안체계를 가동하고 있다. 이사회 대상 정보보호 보고도 정례화하고, 5년간 보안 분야에 1조원을 투자할 계획이다.

LG유플러스는 2023년부터 CEO 직속 정보보안센터를 운영하고 있다. CISO가 정보보안 기술과 개인정보보호 조직을 총괄하고 주요 경영 의사결정에도 참여한다. 인공지능 기반 보안관제와 접속할 때마다 이용자와 기기를 검증하는 ‘제로 트러스트’ 체계도 확대하고 있다.

한국인터넷진흥원 정보보호 공시를 기준으로 지난해 SK텔레콤 계열과 KT, LG유플러스가 정보보호에 투자한 금액은 총 3676억원으로 전년보다 22% 늘었다. 전담 인력도 약 1069명으로 1년 사이 33%가량 증가했다.

한편, 기업의 보안 수준을 외부에 공개하는 범위도 향후 넓어질 전망이다. 과기정통부는 정보보호산업법 시행령을 고쳐 정보보호 공시 의무 대상을 확대하는 방안을 추진하고 있다. 지난 1월 입법예고에 이어 5월에는 재입법예고를 진행했다. 현재 관계부처 협의와 법제처 심사 등 후속 절차가 남아 있다.

정보보호 공시는 기업이 정보보호 투자액과 전담 인력, 관련 인증, 보안 활동 등을 매년 공개하는 제도다. 현재는 매출액 3000억원 이상인 상장사 등 일정 기준을 충족한 기업이 주된 의무 대상이다.

개정안은 매출 기준을 없애 유가증권시장과 코스닥시장 상장법인 전체를 의무 공시 대상에 포함한다. 전년도 말 기준 ISMS 인증 의무기업도 새로 편입한다. 공공기관과 금융회사, 전자금융업자 등에 적용됐던 예외 조항도 없앤다. 다만 소기업에는 준비 기간을 고려해 시행을 2년 유예한다.

이렇게 될 경우 과기정통부 추산으로 코스피·코스닥 상장법인 1715곳과 ISMS 의무기업 389곳 등이 새로 공시 대상에 포함될 수 있다. 지난해 공시 의무기업이 666곳이었던 점을 고려하면 대상이 급증하는 셈이다.

정부는 개정 기준을 2027년 정보보호 공시부터 적용하는 것을 목표로 하고 있다. 다만 시행령 개정이 완료되지 않아 최종 대상과 시행 시점은 바뀔 수 있다.

통신3사는 이미 정보보호 공시 의무를 이행하고 있어 대상 확대에 따른 직접적인 부담은 크지 않다. 다만 상장사와 주요 플랫폼·통신기업의 투자액과 인력 규모가 같은 기준으로 공개되면 기업 간 비교와 외부 감시는 한층 강화될 전망이다.

정보보호 업계에서는 제도의 실효성이 CISO에게 실제 권한을 얼마나 보장하느냐에 달렸다고 본다. 업계 한 관계자는 “직함만 임원으로 높이고 예산 편성과 인사 권한을 제한한다면 기존 관행을 바꾸기 어려울 것”이라며 “공시액을 늘리는 데 집중한 나머지 노후 장비 관리나 접근권한 통제, 협력사 보안 등 기본적인 관리가 밀리는 상황도 경계해야 한다”고 말했다.

이혜민 기자 hyem@kukinews.com
이혜민 기자 프로필 사진
이혜민 기자
산업의 흐름 속에서 의미 있는 이야기를 찾겠습니다.
이 기사 어떻게 생각하세요
  • 추천해요
    추천해요
    0
  • 슬퍼요
    슬퍼요
    0
  • 화나요
    화나요
    0

쿠키오리지널

전체보기

쿠키피드

전체보기

슥- 넘겨 보는 세상 이야기, 기자의 솔직한 코멘터리까지

많이 본 기사