[더팩트ㅣ최문정 기자] SK텔레콤의 대규모 해킹 사태가 1주년을 맞았다. 지난해 4월 18일 SK텔레콤 고객 2300만명의 개인정보가 해킹으로 유출됐다는 사실이 밝혀졌다. 안전과 보안이 핵심인 통신사에서 발생한 보안 사고는 즉시 전국적인 파장을 불러왔다. 그 후 SK텔레콤은 자사의 보안 체계를 원점에서부터 점검하겠다고 고개를 숙였다. 특히 '제로 트러스트'를 보안의 제1원칙으로 삼고, 재발 방지를 위한 거버넌스를 가동한다는 목표다.

17일 업계에 따르면, SK텔레콤은 지난 1년 동안 보안 거버넌스 강화와 관련 재원 투자를 이어왔다. 이에 따라 지난해 해킹 사고 여파로 인한 가입자 이탈과 수익 감소 등의 영향에서 차츰 벗어나는 모양새다.

이날 금융정보업체 에프앤가이드에 따르면, SK텔레콤의 올해 1분기 예상 실적은 매출 4조4015억원, 영업이익 5069억원으로 각각 집계됐다. 보안 사고의 여파로 인해 전년 동기 대비 매출은 1.2%, 영업이익은 10.7%씩 줄었지만, 연간 수준에서는 상승세가 기대된다는 분석이다.

김회재 대신증권 연구원은 리포트를 통해 "SK텔레콤은 사이버 침해사고 영향으로 지난해 약 70만명의 가입자가 이탈했으나 올해 1월 타사의 위약금 면제 기간 동안 약 16만명이 유입되며 서서히 정상화되고 있다"고 분석했다. 그러면서 연간 기준 SK텔레콤의 영업이익은 1조9510억원으로 전년 대비 82% 증가가 예상된다고 밝혔다.

SK텔레콤은 지난해 4월 통신망이 해킹당하면서 가입자 약 2300만명의 개인정보가 유출된 사실을 인지했다. 이후 민관합동조사단의 결과에 따르면, 이번 해킹 사태로 인해 약 4만대에 이르는 통신망 서버 중 28대가 악성코드 33종에 감염된 것으로 나타났다. 유출된 개인정보 중에는 유심(범용 가입자 식별 모듈) 25종도 포함됐다. SK텔레콤은 개인정보보호위원회로부터 1348억원의 과징금을 받았다.

SK텔레콤은 고객 유심카드 교체와 업데이트, 통신요금 할인과 데이터 추가 제공 등을 골자로 한 '고객 감사 패키지'를 제공했다. 이후 번호이동 해지고객 위약금 면제 정책을 펴는 등 고객 신뢰 회복에 공을 들였다.

더욱 구조적인 변화도 단행했다. SK텔레콤은 지난해 정재헌 당시 최고 거버넌스 책임자(CGO)를 대표이사로 내정했다. 정 대표는 취임 이후 첫 임직원과의 타운홀 미팅에서 "품질∙보안∙안전 등 기본과 원칙을 핵심 방향으로, 고객 신뢰를 빠르게 회복하자"는 목표를 제시했다.

SK텔레콤은 자사의 보안 원칙을 '제로 트러스트'를 중심으로 재편했다. 제로 트러스트란 "어떤 것도 믿지 말고, 모든 것을 검증하자"는 원칙에 기반해 조직 내부와 외부의 모든 접근 요청을 지속적으로 검증하는 보안 모델이다. SK텔레콤은 2025년부터 5년간 보안 관련 재원 마련에 7000억원 규모의 투자를 집행하겠다고 밝혔다.

최고정보보호책임자(CISO) 조직 역시 대표이사 직속 기관으로 격상됐다. 또한 지난해 5월 삼성전자, 아마존, 캐나다 정부기관 등 국내외 보안 현장을 거친 이종현 박사를 CISO로 영입했다. 이사회 산하에도 보안 전문가를 영입했다.

올해 초에는 사내외 정보보호 규제를 반영해 17개 정보보호 처리 지침을 정비했다. 클라우드·공급망 등 최신 보안 위협과 기술 트렌드를 반영하고, 사고 예방부터 대응·복구에 이르는 전 과정을 구체화해 실질적인 보안 대응 역량을 강화했다는 설명이다. 이를 통해 경영진뿐만 아니라 실무 직원, 협력사에 이르는 보안 체계를 운영한다는 목표다.

최관순 SK증권 연구원은 리포트를 통해 "SK텔레콤의 영업이익은 2024년 수준을 넘어서며, 지난해 사이버 침해사고의 여파에서 벗어날 전망"이라며 "올해는 비용 안정화가 지속되는 가운데, 이동전화 가입자 수 회복, 데이터센터 매출 증가 등의 성장이 예상된다"고 밝혔다.

jay09@tf.co.kr