;)
;)
당장 지난달 업비트가 해킹을 당해 445억 원 규모(당시 시세 기준 약 3960만 달러) 의 가상자산이 탈취되는 사고가 발생했다. 해커는 비트코인·이더리움·솔라나 등 주요 코인을 분산 이체해 흔적을 숨겼으며, 전체 피해는 약 8100여 개 주소에서 이뤄진 대량 전송으로 확인됐다.
약 3개월 전에는 카드사에서 대규모 정보유출 사태가 터졌다. 롯데카드는 지난 9월 해킹으로 회원 297만 명의 개인정보를 유출당했다. 유출된 정보는 200GB에 이르렀고, 이 중 약 28만 명은 카드번호·유효기간·CVC까지 포함된 민감정보가 털린 것으로 확인됐다. ‘패치 누락’과 ‘구버전 미관리’ 같은 기본 통제 실패가 원인이었다.
올해 3월에는 국가 기간산업 핵심 인프라로 지정된 국가보안목표기관(2등급)인 한국거래소(KRX)마저 보안 취약점을 노출했다. 당시 KRX의 주식매매 체결 시스템이 7분간 중단됐는데, 단일 장애점(SPOF)이 드러난 사건이었다. 백업·페일오버·복구 체계가 제대로 작동하지 않자 거래 전산망이 멈췄고, 자칫 시장 전체 리스크로 번질 수도 있었다.
전산장애 건수 역시 꾸준히 늘고 있다. 금융감독원에 따르면 금융권 전산장애는 2020년 238건에서 2024년 392건으로 증가했고, 올해 상반기(5월까지)만 이미 170건이 발생했다. 연말이면 400건을 넘어설 가능성이 크다. 최근 6년간 금융권에서 보고된 해킹·전산사고는 1884건에 이르며, 올해 9월까지만 해도 이미 과거 연도 전체를 추월했다.
가장 큰 문제는 보안에 대한 인식 자체가 여전히 낮다는 점이다. 예산과 인력을 투입하기보다는 ‘감사용 요건 충족’이나 ‘최저 보안 기준 유지’에 그치는 경우가 많다. 국내 금융회사들의 IT 예산 대비 정보보호 투자 비율은 평균 9.6%로, 글로벌 금융사 평균(13~20%)의 절반 수준이다. 국내 기업 전체 평균은 6.4%에 불과하다.
보안 사고 이후 ‘사후 대응’ 방식의 대처도 문제다. 사고가 터진 뒤에야 복구·사과·보상 절차를 밟는 관행이 반복되면서 동일한 유형의 사고가 재발해도 근본 원인은 방치된다. 예방보다 수습에 치중한 구조에서는 보안체계가 매번 임시방편에 머물고, 조직은 ‘위험을 관리’하기보다 ‘피해를 계산’하는 데 익숙해진다.
우리나라 국민 대부분은 금융회사에 개인정보를 보관하고 있다. 특히 마이데이터 도입 이후 비금융정보까지 금융회사에 제공되는 상황에서 정보보안에 대한 책임은 더 엄격히 적용돼야 한다. 금융권 경영진과 이사회가 보안을 단순 비용이 아닌 ‘최우선 책임’으로 인식할 수 있도록 강력한 제도적 장치가 요구된다.
홍석경 글로벌이코노믹 기자 hong@g-enews.com
