# ‘KT 사내 이벤트에 참여해 주셔서 감사합니다! 축하드립니다, 5성급 호텔 숙박권에 당첨되셨습니다.’ KT 임직원 A씨는 호텔 숙박권을 제공해준다는 메일을 받고 발송자의 주소를 확인했다. 도메인은 ‘com’의 철자를 미세하게 바꾼 ‘@kt.con’이었다. 즉시, A씨는 메일 화면 상단의 신고 버튼을 눌렀다. 이는 분기별로 KT가 시행하는 임직원 대상 ‘피싱 메일 모의 훈련’이다.
매년 7월 둘째 수요일은 ‘정보보호의 날’로, 사이버 공격을 예방하고 국민들의 정보보호 실천 생활화를 목적으로 마련된 법정기념일이다. KT는 2024년 정보보호 투자 규모에서 국내 기업 중 2위를 기록하며 정보보호 투자에 지속적 노력을 기울이고 있다.
KT의 대표적인 정보보호 활동으로는 ▲전사적 정보보호 교육 및 모의 훈련 시행이있다. 제도적 측면의 노력으로는 ▲정보보호 지속 투자 및 전사 보안 거버넌스 관리 강화 ▲사내외 서비스 보안성 프로세스 운영 등이 있다.
■ ‘임직원 자발성’ 중심 정보보호 문화 조성을 위해 교육 및 훈련 시행
KT는 매월 ‘Security Day(월간 정보보호의 날, 이하 시큐리티 데이)’를 운영하며 모든 임직원이 경각심을 갖고 자발적으로 정보보호 활동에 임한다. 이날 임직원들이 받는 교육 내용은 정보보안 7대 핵심 준수 사항을 기반으로 ‘화면 비밀번호, 보호기설정’, ‘보안 문서 취급법’ 등 누구나 쉽게 따라할 수 있는 실천적인 항목으로 구성된다.
이를 통해 KT는 임직원들이 정보보호의 기본 원칙부터 철저히 숙지하고, 일상 업무 속 보안 인식을 자연스럽게 내재화하도록 지원하고 있다. 시큐리티 데이는 단순한 교육을 넘어 ‘피싱 메일 모의 훈련’ 등 선제적 보안 준수 활동을 포함한다. 보안 담당 부서는 임직원 중 점검 대상을 무작위 선정해 ‘경품 이벤트, 택배 발송 안내 등’ 이벤트나 중요 공지를 사칭한 모의 피싱 메일을 발송한다. KT 임직원들은 이를 섣불리 클릭하거나 첨부 파일을 열어 보지 않고 조금이라도 의심가는 메일은 신고할 수 있도록 훈련 받는다.
KT는 위와 같은 교육과 훈련 결과를 바탕으로 임직원 각각 상황에 맞춘 보안 수준 진단 보고서를 제공한다. 이를 통해 임직원들은 본인의 보안 취약점을 확인하고 스스로 개선할 수 있다. 일방적인 교육이 아닌 임직원의 자발적 참여를 이끌어내 사내 정보보호 문화를 확산하는 것이다.
나아가 사이버 보안 위협에 선제적으로 대응하기 위해 전문 보안 인력 훈련에도 힘쓴다. 지난 5월에는 NATO 주관 국제 사이버 방어 훈련 ‘락드쉴즈(Locked Shields) 2025’에 참가해 우수한 성적으로 통과했다.
KT 정보보안실은 가상 국가 5G 통신망 등 주요 정보통신 인프라의 실시간 사이버 방어 및 국가 핵심 기반 시설 서비스 침해 사고 조사와 포렌식 임무를 성공적으로 수행했다. 이로써 KT는 실전 경험을 축적해 사이버 공격 대응 역량을 강화했다.
■ 정보보호 관련 투자 및 제도 지속 정비···’정보보호 투자 규모 국내 2위’
‘24년도 정보보호 공시 기준, KT는 정보보호 부문에 총 1,250억 원을 투자했다. 이는 삼성전자에 이어 국내 기업 중 두 번째로 높은 수준이다. 가입자 100만명 당 정보보호 투자액은 90.8억 원, 가입자 100만명 당 정보보호 인력은 25.1명으로 통신3사 중 가장 높다. 정보기술부문 투자 대비 정보보호부문 투자 비율은 6.3%로 지속적으로 준수한 수준을 유지하고 있다.
KT는 현재 CEO 직속 정보보호 부서를 운영하며 조직 전반의 보안 거버넌스 관리를 강화하고 있다. 동시에 의사 결정 조직으로 ISSC(정보보안전략위원회)를 둬 KT 내 중요 정보보호 안건을 효율적으로 심의·의결·협의한다.
더불어 애플리케이션, 웹페이지 등 신규 서비스를 오픈 할 때는 철저한 보안성 승인 프로세스를 운영해 외부 공격으로부터 정보를 안전하게 보호할 수 있는지 사전 점검한다. 이 과정에서 서비스의 전체 구조는 물론, 개인정보를 포함한 중요 정보의 수집, 저장, 이용, 제공, 파기에 이르는 전 단계에서 기술적, 관리적 정보보호 조치 이행 여부를 종합적으로 검토한다. 서비스 운영 중에도 사후 검증을 통해 새로운
위협에 대한 대응력을 지속적으로 강화한다.
한편 KT는 2024년부터 사이버 위협에 선제적으로 대응하기 위해 제로 트러스트(Zero Trust) 기반 보안 아키텍처를 도입하고, AI Agent 등 인공지능 기술을 접목한 지능형 보안 운영(SecOps) 체계로 전환하는 데 힘쓰고 있다.
제로 트러스트는 기존의 경계망 보안 중심 체계에서 벗어나 모든 접근을 철저히 검증하는 방식이다. KT는 차세대 보안 전략과 기술 투자를 통해 정보보안 체계를 현대화하고 정보보호 역량을 지속적으로 고도화하고 있다.
KT 정보보안실 황태선 상무는 “KT는 고객정보보호를 최우선 경영 가치로 여기며 고객에게 안전한 서비스를 제공하기 위해 노력하고 있다”라며 이를 위해 “정보보호 체계와 인프라에 지속적으로 투자하겠다”라고 밝혔다.
※ 보충문의: KT 홍보실 이수정 사원
※ 사진설명: KT 직원들이 경기도 과천에 위치한 KT 통합관제센터에서 DDoS 등 사이버 공격에 대비하며 관제하는 모습
댓글
댓글 쓰기