통신3사의 정보보안 거버넌스 체계와 최고정보보호책임자(CISO) 조직 운영 현황을 분석합니다.

2023년 고객정보 유출사태 이후 홍관희 전무를 영입한 LG유플러스는 2년간 정보보안센터 중심의 체계적인 거버넌스 강화에 나서왔다. 보안조직의 규모를 키우고 투자도 2배 이상 확대하는 등 가시적 성과를 내는 가운데 다양한 산업 분야에서 전문성을 쌓은 홍 전무의 리더십이 LG유플러스의 보안체질 개선을 이끌고 있다는 평가가 나온다.

보안 전문가 영입해 체질 개선 나서

LG유플러스의 보안 개선은 2023년 1월 발생한 대규모 고객정보 유출사고로 시작됐다. 해킹으로 고객 개인정보가 유출된 정황이 포착되자 회사는 같은 해 2월 '사이버안전혁신안'을 내놓았다. 정보보호에 대한 투자를 1000억원 규모로 확대하고 전문가를 영입하겠다는 내용이었다.

홍 전무는 그해 6월 LG유플러스에 합류했다. 그는 25년간 통신·금융·유통·게임 등 다양한 산업에서 정보보호 체계를 구축한 실무형 전문가라는 평가를 받는다.

홍 전무는 2003~2007년 한국인터넷진흥원(KISA)에서 정보유출 및 침해사고 대응 업무를 맡았다. 이후 SK텔레콤 네트워크 및 서비스 보안 매니저(2008~2012년), 넥슨 정보보안실장(2012~2014년)을 거쳤다. 삼성카드 정보보호최고책임자(CISO)·개인정보보호책임자(CPO)(2014~2020년), 쿠팡 CPO(2020~2023년) 등 국내 대기업에서 보안업무를 총괄한 경험도 풍부하다.

홍 전무는 영입 당시 "통신서비스 보안을 강화하는 것을 넘어 LG유플러스가 선진적인 사이버 보안 체계를 갖춘 일등기업이 되도록 힘쓰겠다"고 포부를 밝혔다.

홍 전무가 부임한 뒤 CISO 중심으로 보안 컨트롤타워가 구축됐다. LG유플러스는 2023년 사이버보안센터를 신설한 뒤 최고경영자(CEO) 직속으로 격상했다. 기존에 분산돼 있던 정보보호 조직을 통합해 컨트롤타워 역할을 강화한 것이다.

2025년에는 조직명을 '정보보안센터'로 바꾸고 체계를 더 정비했다. 보안정책과 기획을 담당하는 직속팀과 함께 '정보보안기술담당' '개인정보보호담당' 체제로 재편했다. 정보보안기술담당은 최신 보안기술 적용과 검토, 보안 서비스 운영, 침해사고 예방 및 대응을 맡는다. 개인정보보호담당은 전사 개인정보와 중요정보가 적법하고 안전하게 보호되도록 기준을 수립하고 관리·감독한다. 조직 규모도 기존 3팀 체제에서 11팀으로 대폭 확대됐다. 3배가 넘는 규모다.

외부 전문가 중심의 자문조직도 마련했다. 법조계, 산업계, 연구계, 학계 등 다양한 분야의 사이버보안 전문가들로 구성된 '정보보호자문위원회'를 2023년 5월 발족시켰다. 위원회는 분기 1회 이상 정기회의를 열어 보안 기본기 강화 활동을 점검하고 방향성에 대한 자문에 응한다.

투자 87% 급증, 인력도 2.5배 늘려

투자와 인력 확충도 눈에 띈다. 한국인터넷진흥원 정보보호 공시 기준으로 LG유플러스의 정보보호 부문 투자는 2022년 442억원에서 2023년 632억원, 2024년 828억원으로 늘었다. 2년 새 87%가 증가한 셈이다. 올해도 전년 대비 30% 이상 투자를 확대할 계획이다.

전담인력도 대폭 늘렸다. 2022년 117명에서 2023년 157명, 2024년 293명으로 2.5배 불어났다.

이 같은 투자확대는 실제 보안역량 강화로 이어지고 있다. LG유플러스는 내부 보안포털을 전면 재구축하고 개인정보 컴플라이언스 점검 시스템을 새로 구축했다. 인공지능(AI) 기반의 보안 모니터링 기능도 보강했다.

자회사 보안관리도 강화하고 있다. 지난해 주요 자회사를 대상으로 보안 취약점 및 개인정보 현황 점검을 실시했다. 분기별로 협의체 회의를 열어 보안 이슈를 공유하고 있으며, 올해는 점검 대상을 확대하고 보안관제 통합 운영도 추진할 방침이다.

이진솔 기자