[금융권 정보보호 구멍] 보안 투자예산 겨우 6%… 스테이블코인 신사업도 '위험'

글로벌 평균 13%…많게는 전체 예산 20% 투자
미국·유럽 등은 보안투자 강제해 ‘방어력’ 강화
韓 디지털사업 활발해지는데 제도적 장치 허술
돈 버는 데만 급급…보안 회피 경향 개선해야

롯데카드가 해킹 공격을 당하고도 보름 넘게 이를 파악하지 못하는 등 정보보호 미흡으로 인해 금융권을 질타하는 목소리가 커지고 있다. 사진은 롯데카드 사옥 전경. 사진=롯데카드

최근 통신·금융에 해킹 사태가 잇따르는 것은 우리나라 금융회사의 정보보호 투자가 글로벌 표준에 크게 뒤처진 데 따른 것이다. 국내 기업의 IT 예산 대비 보안 투자 비율은 한 자릿수에 그쳐 “돈 버는 데만 치중한다”는 평가다.

특히 국내 금융회사들은 최근 스테이블코인, 디지털자산 사업에 적극 진출하고 있는데 보안 위험이 높다는 분석이다. 최고경영자(CEO)들이 보안을 비용으로 인식하는 경향이 높다는 점도 디지털 금융의 리스크로 부각되고 있다.

3일 금융보안원과 금융권 등에 따르면 국내 기업들의 IT 예산 대비 보안 투자 비율은 평균 6.4%에 불과하다. 업종별로 금융·보험업 평균은 9.6% 수준이지만, 글로벌 주요 금융기관 평균이 13% 이상이고 유럽 일부 은행은 20%대까지 투자하는 것과 비교하면 절반에도 못 미친다.

미국은 지난해부터 증권거래위원회(SEC)가 상장 금융사의 사이버 사고를 반드시 공시하도록 규정해 보안 투자를 강제하고 있으며, 영국 중앙은행은 CBEST 모의 해킹 프로그램과 ‘사이버 전쟁 시뮬레이션’을 정례화해 은행권 전반의 방어력을 끌어올리고 있다.

반면 국내는 제도적 장치가 허술하다. 현행 규정상 은행·보험·카드사는 정보보호 공시 의무 대상에서 빠져 있어 실제 투자 현황을 외부에서 파악하기 어렵다. 실제 정보보호 공시에 참여한 금융회사를 보면 KB국민은행·신한은행·우리은행·토스·카카오·웰컴저축은행·롯데캐피탈·한국투자증권·대신증권 등 31개사에 불과하다.

‘정보보호산업의 진흥에 관한 법률’은 일정 규모 이상의 기업에 대해 매년 정보보호 투자와 인력 현황을 공시하도록 의무화하고 있다. 다만 시행령 제8조에서 ‘전자금융거래법’ 제2조 제3호에 따른 금융회사는 공시 의무에서 제외하도록 규정했다.

이미 금융위·금감원 감독을 받는 만큼 중복 규제를 피하겠다는 취지였다. 또 금융정보 특수성을 감안해 세부 자료 노출이 곧 보안 위협이 될 수 있다는 논리도 작용했다. 그러나 공시를 통한 ‘투자 경쟁 압력’이 작동하지 않아 업권 전반의 보안 투자가 늘어날 유인이 약하다는 비판도 여전하다.

최고정보보호책임자(CISO)의 독립성도 문제다. 대다수 금융사에서 CISO가 CIO나 CFO를 겸직하고 있어 보안 전담 부서가 전략적 의사결정에서 후순위로 밀리고, 사고 발생 시 책임과 권한이 모호해진다.

신한·삼성·현대·KB국민·롯데·하나·우리·BC카드 등 전업 카드사 8곳 가운데 전임 CISO를 둔 곳은 신한카드가 유일하다. 나머지 카드사는 대부분 개인정보보호책임자(CPO), 신용정보관리·보호인(CIAP) 등 유사 직책을 겸임하고 있다.

금융권이 보안을 회피하는 배경은 구조적 한계에서 비롯된다는 지적이다. 우선 IT 예산 가운데 보안 부문이 지나치게 적게 책정돼 장비나 시스템 투자가 제대로 이뤄지지 않는다. 금융사들은 막대한 수익을 내면서도 보안 예산을 늘리기보다 인건비·성과급 등 다른 곳에 집중해 “투자 여력이 없다”는 핑계를 댄다는 것이다.

인력 문제도 심각하다. 국내 금융사 IT 부서는 전반적으로 ‘맨파워’가 약하고, 보안 전문 인력을 충원할 교육·양성 기반도 부족하다. 실제로 금융사에 입사하는 IT 전공자들도 금융 플랫폼 운영에 치중할 뿐, 체계적인 보안 체제를 구축할 여건은 미흡하다는 평가다.

조직 구조와 권한의 한계 역시 발목을 잡는다. 보안 강화를 위해 별도 장비나 전용 인력을 두는 데 내부 반발이 크고, 기존 개발자들은 새로운 장비와 언어 도입을 꺼린다. 결정권자들이 보안 투자를 전략적 우선순위에 두지 않으면서 보안 부서는 늘 뒷전으로 밀린다.

일부 금융사의 경우 자체 보안 역량을 쌓기보다 외부 SI(시스템통합) 사업에 매달리는 관행도 문제다. 대형 발주가 여러 하청 단계를 거쳐 내려오면서 금융사 IT 인력은 내부 보안보다 외부 수주 사업에 치중하고, 결과적으로 내부 보안 체계를 정비할 여력이 줄어든다.

전문가들은 금융권 보안 사고가 단순히 한 번의 해킹으로 끝나는 것이 아니라 대규모 피해로 이어질 수 있다고 강조한다. 한 보안업체 대표는 “보안 사고는 한 번 발생하면 장기간 후폭풍으로 이어질 수 있다”면서 “BTS 멤버 개인정보 유출 사례처럼 주민등록번호 변경, 휴대폰 명의 도용 등 2차 피해가 지금까지도 이어지고 있다”고 말했다.

이어 그는 “금융권 보안 사고 역시 단순히 한 번의 해킹으로 끝나지 않고 대규모 피해로 번질 수 있는 만큼 근본적인 투자 확대와 인력 확충이 시급하다”고 덧붙였다.

홍석경 글로벌이코노믹 기자 hong@g-enews.com