[금융권 정보보호 구멍] 올해 해킹·장애·보안사고 폭탄 '역대 신기록'

올해 들어 금융권 보안 사고가 최고 7건 이상 발생하면서 역대 최악의 해로 기록될 전망이다. 은행·보험·카드·증권사를 가리지 않고 해킹, 개인정보 유출, 랜섬웨어, 전산장애가 잇달아 발생하면서 사고 건수와 피해 규모 모두 신기록을 세울 것으로 보인다. 금융권이 스테이블코인 등 디지털 금융을 강화하는 움직임 속에 정작 보안 대응은 미흡하다는 지적이다.

3일 금융당국과 금융권에 따르면 올해 1월부터 9월 초까지 최소 7건의 보안 사고가 발생했으며, 피해 규모로만 따지면 역대 최대치를 기록할 것이라는 관측이 제기된다. 가장 최근 사례는 롯데카드다. 지난 8월 14~16일 공격자가 온라인 결제 서버에 침투했지만, 회사는 이를 17일간 알아채지 못한 채 8월 31일이 돼서야 사고 사실을 인지했다.

조사 과정에서 3개 서버에서 악성코드와 웹셸이 발견됐고, 약 1.7GB 분량의 데이터 반출 흔적도 포착됐다. 이 안에는 온라인 결제 요청 내역이 포함됐을 가능성까지 제기돼 고객정보 유출 여부를 두고 금융당국이 촉각을 곤두세우고 있다.

롯데카드는 사건 이후 고객 불안을 최소화하기 위해 긴급 대응에 나섰다. 고객센터에 개인정보 유출 관련 전용 상담 메뉴를 24시간 운영하고, 비밀번호 변경·재발급·탈회 문의를 신속히 처리하기 위해 상담 시간을 오후 10시까지 연장했다.
또 앱과 홈페이지에는 비밀번호 변경, 해외 거래 차단, 카드 재발급 간편 링크를 마련해 온라인 조치를 강화했다. 이상금융거래 모니터링도 한층 강화해 부정 사용 발생 시 선보상 방침을 내놨다. 회사는 “심려와 불편을 드려 죄송하다”면서 “소비자 피해 예방에 모든 역량을 집중하겠다”고 밝혔다.

앞서 7월에는 SGI서울보증보험이 랜섬웨어에 감염돼 81시간 넘게 보증업무가 중단되면서 전세보증, 휴대폰 할부보증 등에서 소비자 불편이 잇따랐다. 8월 중순에는 웰컴금융그룹 계열사 웰릭스에프앤아이대부가 랜섬웨어 조직 Qilin의 공격을 받아 1.02TB 규모의 내부 자료 탈취 주장이 제기되며 금융그룹 차원의 보안 취약성이 도마에 올랐다.

상반기에도 크고 작은 사고가 이어졌다. 지난 5월 SC제일은행에서 고객 469명의 정보가 새나갔다. 같은 시기 노무라금융투자와 iM뱅크 역시 해킹 침해 사고가 보고됐으나 피해 규모는 공개되지 않았다.

보안 사고는 은행·보험·증권·카드·여신·보증사를 가리지 않고 확산되고 있다. 피해 양상도 단순한 개인정보 유출에서 대규모 자료 탈취, 수십 시간 업무 마비까지 점점 더 구체적이고 심각해지고 있다.

통계 역시 이러한 상황을 뒷받침한다. 금융감독원에 따르면 2020년 이후 금융권 해킹·침해 사고는 총 27건, 피해자는 약 5만 명에 이른다. 올해 상반기에만 4건·3142명의 유출 피해가 발생해 이미 지난해 전체(4건·5명)를 넘어섰다. 전산장애도 2020년 238건에서 2024년 392건으로 늘었으며, 올해는 5월까지 170건이 발생해 연간 400건 돌파가 확실시된다.

업계 관계자는 “금융권에서 디지털 관련 사업을 강화하는 추세인데 상대적으로 보안 부문은 취약점이 드러나고 있다”면서 “관련 대응이 시급해지는 상황”이라고 말했다.


홍석경 글로벌이코노믹 기자 hong@g-enews.com