SKT가 스타트업인가요? 보안담당자 뽑으면 다인가요?

인물 맹신 = 브랜드 맹신

SK텔레콤(SKT)의 보안 침해 사고는 단순한 기술적 실수 이상의 의미를 내포하고 있다. 국내 1위 통신사라는 위상에도 불구하고, 이번 사고는 해당 기업이 그간 얼마나 허술한 보안 체계로 운영되었으며, 안일한 보안 거버넌스를 유지해왔는지를 드러낸다. 이러한 실책은 이용자들에게 커다란 불신을 남기며, 기업의 본질적인 운영 철학과 원칙에 대한 의문까지 제기하게 만들었다.

SKT가 글로벌 보안 전문가인 이종현 박사를 최고정보보호책임자(CISO)로 영입한 조치는 보안 역량을 외부의 상징적 인물에 의존함으로써 당장의 비판을 피하려는 전형적인 ‘인물 맹신’ 방식의 대응으로 비칠 수 있다. 물론 해당 인사의 경력은 신뢰할 만하지만, 이 조치가 체계적이고 근본적인 변화 없이 단순히 일회성 인사로 그칠 경우, 오히려 기업의 무능함만을 부각시키는 결과를 초래할 수 있다.

이러한 대처는 창업 스타트업계에서 늘상 깔고가는 방식이다.

이는 마치 스타트업이 보증할 수 있는 인프라나 실적이 부족할 때 외부 인사의 커리어로 정당성을 확보하려는 방식과 유사하지만, 대기업이라면 내부 인프라와 문화 자체로 보안 역량을 증명해야 하는 책임이 있다. SKT의 이번 대응은 그 기대를 충족시키지 못하고 있다는 점에서 실망스럽다.

특히 우리나라 대기업들의 보안 침해 사고 대처에는 비슷한 양상이 있었다. 해당 기업은 초기 침해 정황을 인지하고도 대응이 늦어 수백만 건의 고객 정보가 유출되었고, 어쩔 수 없이 외부에 노출되고 나서야 대처 방식은 관련 인사를 교체하며 사후 약방문식 대응을 하였다. 이 사건은 보안에 대한 안일한 인식이 기업의 신뢰 기반을 어떻게 무너뜨릴 수 있는지를 단적으로 보여준다.

보안은 단순히 방화벽을 세우고 백신을 설치하는 기술적 차원을 넘어서야 한다. 경영진이 보안 문제를 전략적 아젠다로 인식하고, CISO가 CEO 직속으로 실질적인 권한을 행사할 수 있어야 하며, 보안 인력의 역량 강화 및 체계적인 내부 훈련이 병행되어야 한다.

또한 정부 기관인 한국인터넷진흥원(KISA) 등과의 협력을 통해 보안 사고에 대한 조사와 대책을 투명하게 국민에게 설명하는 것이 필요하다. 이를 통해 기업의 진정성과 책임 의식을 입증하는 것만이 신뢰 회복의 출발점이 될 수 있다.

결국, 보안은 조직의 기술이 아니라 철학이다. SKT가 진정으로 고객과 사회로부터의 신뢰를 되찾기 위해선, 상징적인 인사의 영입을 넘어서 조직의 근간을 다시 점검하고 체계적으로 재정비해야 한다. 기업의 철학과 운영원칙에 부합하는 방식으로, 외부 협력과 내부 혁신을 병행해야만 한다. 이러한 전환 없이는 아무리 뛰어난 인재를 영입하더라도, 신뢰 회복은 요원할 것이다.

그리고 마지막으로 강조해야 할 점은, 보안 사고의 원인 규명과 대책 마련 절차는 반드시 신뢰할 수 있는 공공기관인 KISA와 같은 중립 기관을 통해 투명하게 공개되어야 한다는 점이다. 민간 기업의 자율 판단에만 맡길 경우, 선택적으로 정보를 공개하거나 근본적인 개선 없이 일시적인 조치에 그칠 가능성이 크다. 이러한 불확실성과 회피 가능성을 없애기 위해서라도, 공적 검증과 공개는 보안 사고 대응의 기본이자 필수 조건이다.