2금융권, 보안 무방비⋯은행과 예산·인력 격차 ‘최대 13배’ [해킹, 붕괴된 금융 신뢰]

두달 새 3건 보안사고…2금융권 취약성 도마 위에
은행권 대비 전산 예산 13분의 1 불과
규제 보완·대책 마련에 금융당국 고심
"정보보호 인증 제도 관리 부실 해소해야"

최근 SGI서울보증, 웰컴금융그룹, 롯데카드 등 2금융권에서 연쇄적으로 해킹 사고가 발생하면서 은행에 비해 취약한 보안 역량이 도마에 올랐다. 부족한 인력·예산에 더해 규제 사각까지 겹친 구조적 한계가 드러났다는 평가다. 금융보안 사고는 피해자의 경제 활동을 마비시킬 수 있는 만큼 2금융권의 관련 규제를 강화하고 개인정보보호 인증 제도 운영 관리를 보강해야 한다는 지적이 나온다.

14일 금융권에 따르면 금융당국은 최근 웰컴금융그룹 해킹 사고에 대한 조사를 마치고 세부 원인 규명 작업에 들어갔다. 가장 최근 발생한 롯데카드 해킹 사태에 대한 조사는 아직 진행 중이며 드러난 보완 사항은 조만간 발표할 종합 대책에 반영할 예정이다.

금융당국은 잇따라 발생한 해킹사고가 2금융권에 집중된 점에 주목하고 있다. 7월 SGI서울보증이 랜섬웨어 공격을 받았고 8월에는 웰컴금융그룹에서 내부 자료 유출 정황이 포착됐다. 이어 9월 초 롯데카드도 악성코드 감염으로 1.7기가바이트(GB) 분량의 고객 정보가 유출됐다.

불과 두 달 사이 세 건의 사고가 연달아 발생하면서 은행보다 인력·예산에서 뒤처진 2금융권의 보안 취약성이 도마에 올랐다.

이는 한국은행의 관련 통계에서도 잘 드러난다. 이투데이 분석 결과 2금융권의 정보보호 관리 인력은 은행의 8분의 1 수준이다. 은행권의 정보보호 관리 인력은 2023년 기준 총 497명으로, 리스와 할부금융 등을 다루는 캐피털 업권의 전체 보안 인력은 61명에 그쳤다. 캐피털사보다 규모가 큰 손해보험(117명)·생명보험(138명)·카드(134명) 업권도 은행이 보유한 인력의 23~28% 수준에 머물렀다. 전문 인력이 부족하다 보니 사고 발생 시 초동 대응과 피해 최소화에 차질이 불가피하다는 평가가 나온다.

정보기술(IT) 관련 투자에 쓰이는 전산 예산 격차는 더욱 두드러졌다. 2023년 은행권의 총 전산 예산은 4조125억 원으로 집계됐다. 반면 캐피털 업계의 총 예산은 2996억 원으로 은행의 13분의 1 수준에 불과했다. 카드사(1조288억 원)와 손해보험사(1조1529억 원), 생명보험사(1조3621억 원)도 큰 차이를 보였다.

다만 전체 예산에서 전산 예산이 차지하는 비율은 캐피털사가 18.6%로 가장 높았다. 인력과 사업 규모 자체가 작아 전산 지출이 상대적으로 두드러지게 반영된 결과다. 다음으로 은행(14.3%)이 가장 높았고 생보사(8.2%)·카드사(7.2%)·손보사(6.9%)는 10%대 미만을 기록했다.

일각에서는 이러한 격차가 금융당국의 규제 강도 차이 때문이라는 지적이 나왔다. 기본적으로 관련 법제도는 은행과 2금융권에 공통적으로 적용되지만, 세부 의무에서 차이가 크다 보니 2금융권은 자연스럽게 인프라 확충이나 인력 배치 등에 비교적 소극적인 모습을 보여왔다는 것이다.

예컨대 금융 거래의 안전성을 확보하기 위해 마련된 '전자금융거래법'은 △정보보호최고책임자(CISO) 지정 △안전성 확보 의무 △침해(보안)사고 통지 의무 등을 규정하고 있다. 은행뿐 아니라 저축은행, 카드·보험 업계, 상호금융권 등 2금융권도 예외 없이 적용된다.

하지만 세부 조항으로 들어가면 2금융권은 규제를 비껴갈 여지가 많다. 대표적으로 정보보호최고책임자 겸직 금지 조항은 '자산 10조 원 이상, 상시 종업원 수 1000명 이상'인 금융사에만 적용된다. 이 때문에 일부 대형 카드·보험사를 제외한 2금융권 전반은 법 적용 대상에서 빠져있다.

상호금융권은 사이버 침해사고 대응·복구 훈련 대상에서도 제외돼 있다. 전자금융감독규정은 금융회사로 하여금 연 1회 이상 침해사고 대응 및 복구훈련을 시행하고 결과를 금융보안원 등에 제출하도록 하고 있지만, 농협·새마을금고 등 상호금융권은 예외로 뒀다.

금융당국은 개인정보 유출 사고가 반복되는 기업에 대한 징벌적 과징금을 검토하고 2금융권 규제 강화를 위한 제도 보완책을 검토하고 있다.

해외의 경우 보다 강력한 제도를 운영하고 있다. 미국은 2023년부터 일정 규모 이상의 금융사가 사이버 보안 투자 및 사고 현황을 의무적으로 증권거래위원회(SEC)에 공시하도록 했다. 유럽연합(EU)은 올해부터 ‘디지털 운영탄력성법(DORA)’을 본격 시행해 은행·핀테크·빅테크 모두 동일한 보안 관리·공시 규제를 적용받는다. 일본도 금융청을 중심으로 매년 금융기관의 정보보호 투자 현황을 평가·공개하고 있다.

금융당국 관계자는 "2금융권도 전금법상 망 분리나 안정성 확보 등 큰 틀의 의무는 부과돼 있지만 회사 규모에 따라 세부 기준에서 차이가 있는 것은 사실"이라며 "다만 이미 제도가 마련돼 있음에도 사측의 과실 비중이 크다면 책임을 물어야 하고 징벌적 과징금을 포함한 제도적 보완 방안을 계속 논의하고 있다”고 설명했다.

보안 인증 제도에 대한 정부 차원의 관리를 강화해야 한다는 지적도 있다. 김승주 고려대 정보보호대학원 교수는 최근 롯데카드가 개인정보보호관리체계(ISMS-P) 인증을 받고 불과 며칠 만에 해킹을 당한 점을 거론했다. 그는 "정부나 관련 기관이 과징금 부과에는 적극적이지만 인증 심사 부실에 대해서는 책임을 지지 않는다"며 "외국은 보안 관련 큰 사고가 발생하면 기관장이 해임된다"고 말했다.