“보안에 수천억 원을 투자했습니다. ”
국내 주요 통신 3사 CEO들이 반복적으로 꺼내는 말이다. KT는 향후 1조 원, SK텔레콤과 LG유플러스는 5년간 각각 7000억 원 이상을 정보보호에 쏟겠다고 밝혔다. 연례 보고서에도, 대외 발표에도 빠지지 않는 구절이다.
하지만 이 수치들을 접한 이용자들의 반응은 차갑다. 고객 입장에선 ‘투자했다는데 왜 또 해킹이냐’는 의문이 먼저 들어서다.
KT의 소액결제 무단 승인 사고, SK텔레콤의 유심 해킹 사태, LG유플러스의 서버 침해 의혹까지. 통신 3사는 올해 내내 ‘보안 실패’란 오명을 벗지 못했다.
문제는 투자 총액만으로는 보안을 담보할 수 없다는 데 있다. 2024년 기준, KT는 1250억 원, SKT는 933억 원, LG유플러스는 828억 원을 정보보호에 투자했다. 전년 대비 적게는 2%, 많게는 30% 이상 늘었다. 하지만 매출 대비 투자율은 0.5% 남짓. 글로벌 기준으로도 낮은 수준이다.
투자의 방향성도 되묻지 않을 수 없다. 모의해킹, 버그바운티, 제로트러스트, AI 기반 탐지 체계 등 현란한 용어들이 난무하지만, 고객이 느끼는 건 ‘왜 사고 났을 때 문자 한 통 못 받았느냐’는 실망감이다. KT는 피해가 확인된 고객에게만 안내문자를 보냈다고 했지만, ‘예방’이 아닌 ‘사후’ 대응에 머문 조치로 보인다.
지금 필요한 건, 돈이 아니다. 결과다. 보안 조직을 CEO 직속으로 바꾸고, 백엔드 시스템을 AI로 감싸는 것도 중요하지만 고객이 ‘안심하고 써도 되는지’를 체감할 수 있어야 한다. 고객이 가장 두려워하는 건 정보유출 그 자체보다, 유출을 ‘몰랐고’, ‘제대로 알리지 않았다’는 데 있다.
기업은 브랜드로 신뢰를 얻고, 신뢰를 기반으로 시장을 키운다. 통신사는 국민 인프라를 다루는 만큼 그 책임도 무겁다. 이제는 ‘얼마 썼다’보다 ‘무엇을 막아냈느냐’를 설명해야 할 때다.
조 단위 투자도, 고객 신뢰가 빠져 있다면 그저 숫자에 불과하다.
