은행권, 우리은행이 정보보호 투자에 앞서
보험사는 대형사들도 보안 투자 10% 못미쳐
카드사, 실제 예산 집행률 낮아…올해 58.9%
당국 “금융사 부주의면 엄정 제재” 재차 경고
예산 편성·운용 현황에 공시 기준부터 미흡해
▲대규모 해킹사고가 잇따르자 금융당국이 전 금융사를 대상으로 보안 강화를 주문하고 나섰다.
롯데카드 대규모 해킹사태 이후 정부가 금융권의 보안사고 관리에 집중하면서 금융권의 긴장이 높아지고 있다. 금융권 내 보안 예산 편성에도 관심이 쏠리는 가운데 업권별로 상당한 격차가 존재하는 것으로 분석된다. 지난해 기준 인터넷은행이 가장 높은 보안투자 비율을 보이는 반면, 보험, 카드사 등 전통 금융사들이 상대적으로 낮은 투자 수준을 유지하고 있다.
업권별로 보안 예산이나 집행률이 상이한 가운데 금융사 전반 내부 체계의 점검과 규제 강화로 이어질 것이란 전망이 나온다.
정보보호 투자, 은행이 앞서…대다수 정보보호 투자비율 10% 미만
25일 한국인터넷진흥원(KISA)에 공시된 은행권의 정보보호 비용 현황을 보면 지난해 말 기준 KB국민·신한·우리은행의 정보기술(IT) 부문 투자액은 약 1조3557억원이었다. 이 중 정보보호 부문에 대한 투자 규모는 약 1239억원(9.1%)인 것으로 나타났다.
이는 KISA에 공시된 기업 773곳의 평균치(6.29%)와 비교해 높은 수준이다. 금융사와 전자금융업자는 정보보호 공시 의무 대상은 아니지만 이들 은행의 경우 자율 공시에 참여하고 있다.
은행별로는 우리은행이 444억원으로 가장 많은 액수를 정보보호 부문에 투자하고 있다. 전체 IT 투자 예산 대비 보안 투자 비중은 12.3%로 타 은행보다 높은 수준이다. 국민은행은 425억원(7.49%), 신한은행은 370억원(8.64%) 수준으로 투자하고 있다. 인터넷전문은행의 경우 보안 투자 비율이 더 높은 편이다. 카카오뱅크·토스뱅크·케이뱅크 등 인터넷은행 3사의 경우 지난해 기준 평균 약 11.3%대로 시중은행보다 높은 정보보호 투자 비율을 보이고 있다.
보험사들의 경우 대형사들조차 10%에 미치지 못하는 실정이다. 업계가 발간한 지속가능경영보고서에 따르면 한화생명이 지난해 전체 IT 예산의 10.7%를 정보보호에 사용했다고 밝혔다. △메리츠화재 9.7% △신한라이프 8% △현대해상 7.6% 등이 10% 미만의 정보보호 비용 비율을 보이고 있다. 정보보호 관련 보고는 현재 자율에 맡겨진 상황이기에 회사별 공시에 편차를 보인다.
▲지난 18일 서울 중구 부영태평빌딩에서 조좌진 롯데카드 대표를 비롯한 임직원들이 대고객 사과를 하고 있다.
여신업권의 경우 국내 8대 카드사(삼성·신한·KB국민·현대·롯데·하나·우리·비씨카드)의 IT 예산 대비 정보보호 예산 비중이 10%대를 보이고 있다. 강민국 국민의힘 의원실에 따르면 2020년부터 6년 동안 8개 카드사에 책정된 정보기술 예산은 5조5588억원으로, 이 중 정보보호 예산은 5562억원에 그쳤다. 롯데카드를 비롯해 대부분 카드사들의 정보보호 예산이 매년 감액 추이를 보이고 있다. 비용으로만 비교하면 6년간 606억원을 쓴 롯데카드보다 현대카드(442억원)가 더 적었고, 하나카드(648억원)도 비슷한 수준을 보이고 있다.
문제는 카드사들의 경우 예산 집행률이 떨어지면서 실제 정보보호 예산 비율이 더 낮아진다는 것이다. 지난 5년간(2020년~2024년) 8개 카드사가 책정한 정보보호예산은 4540억7700만원이며, 이 중 실제 투자한 예산은 3747억8800만원으로 82.5%에 그쳤다. 올해만 보면 8월 말까지 8개 카드사의 정보보호 예산 평균 집행실적이 58.9%를 나타내고 있다.
당국 “전쟁에 임하는 각오로 나서야"…업계 “구체적인 가이드부터"
금융당국은 전 금융사를 대상으로 보안 강화를 주문하고 나선 상태다. 지난 23일 금융위는 180명에 달하는 전업권 정보보호최고책임자(CISO)들과 긴급 회의를 열고 사이버 위협에 대해 최고 수준의 경각심을 갖고 보안 역량을 강화해달라고 주문했다. 권대영 금융위원회 부위원장은 “보안상 허점이 없는지 사운을 걸고 즉시, 전면적으로 챙겨달라"고 말했다.
보안 체계를 부적정하게 운영하는 등 금융사 측의 부주의로 침해사고가 발생할 경우 엄정 제재하겠다는 방침도 내걸었다. 권 부위원장은 “침해사고 방지를 위해 그 어떤 위험요인도 그냥 지나치지 않는 '제로 트러스트(zero trust, 누구도 믿지 않는다)' 원칙에 입각한 전사적인 관리 노력이 필요하며, 정부·유관기관·금융회사가 뜻을 모아 전쟁에 임하는 각오로 근본적 노력에 나서야 한다"고 말했다.
이미 당국은 상반기 보험업권에서 연속적으로 나타난 보안사고 이후 금융권 내 보안사고 발생에 대해 경고한 바 있다. 개인정보 유출이나 전산시스템 마비로 연결되면 금융사 최고경영자(CEO)에게 책임을 묻겠다는 강경한 뜻도 밝혔다.
▲권대영 금융위원회 부위원장.
이에 보안 관련 예산 편성이나 책임 체계가 보다 분명해지고 보안 거버넌스 전반이 근본적인 정비에 들어갈 가능성이 높아졌다. 권 부위원장은 “전 금융회사 CEO는 해킹사고가 목전에 닥쳐있는 심각한 위협이라는 사실을 인식하시고 신속한 전수 점검과 내부 관리 체계 마련을 서둘러 달라"고 주문했다.
다만 일각에선 예산 편성과 운용 현황에 대한 공시 기준이 미흡해 구체적인 가이드라인이 마련돼야 한다는 주장도 제기된다. 금융권의 경우 ESG 공시 항목으로 정보보호 관련 항목이 있지만 법적 의무사항이 아니며 산정 방식도 제각각이다.
또한 올 상반기 금융권은 디도스나 서버 해킹 등에 대비한 대응 훈련을 334건 진행했다. 이미 상황별 대응 훈련이나 외부 전문업체로부터의 컨설팅, 전자금융시설 점검 등 기본적인 대비가 이뤄지고 있다는 것이다. 한 금융권 관계자는 “금융사들은 이미 존재하는 가이드에는 잘 맞추고 있다"며 “당국 차원에서 예산이나 공시에 대한 기준이 보다 제대로 갖춰지는 것도 필요하다"고 말했다.
;){kind=link}