"소 잃고 외양간 고치나" 누적되는 금융권 해킹 피해, 주요 은행 보안 투자 확대돼

국내 주요 은행, 줄줄이 보안 분야 투자 늘려
최근 5년 사이에만 금융권 해킹 사고 27건 발생
부족한 투자가 '보안 공백' 낳았다

금융권이 사이버 보안 분야 투자를 속속 확대하고 있다. 업계 내에서 사이버 공격으로 인한 정보 유출 사례가 지속적으로 누적되자, 부랴부랴 자금·인력 투자를 늘려 보안 역량 강화에 나서는 양상이다. 전문가들은 민감한 데이터가 다수 모이는 금융업의 특성을 고려해서라도 보안 공백 해소에 속도를 낼 필요가 있다는 지적을 내놓는다.

보안 강화 나선 은행권

26일 금융권에 따르면, 최근 주요 은행들은 사이버 보안 기술 역량을 강화하기 위해 관련 투자를 확대해 나가는 추세다. 한국인터넷진흥원(KISA)의 공시 종합 포털을 살펴보면 국내 주요 은행(신한·국민·우리·토스)의 2024년 정보기술 부문 투자액은 1조4,523억원으로 집계됐다. 이는 전년 대비 131억8,806만원 급증한 수준이다. 정보보호 부문 투자액 역시 전년 대비 111억7,678만원 늘었고, 정보보호 부문 평균 인력은 289.2명으로 같은 기간 7.85명 증원됐다. 특히 내부 정보보호 인력의 경우 179.5명으로 전년보다 13.2명 증가했다.

가장 공격적으로 보안 투자를 늘리고 있는 곳은 신한은행으로 확인됐다. 2024년 신한은행의 정보기술 부분의 투자액은 전년 대비 약 500억원 증가했으며, 관련 인력은 5.85명 늘었다. 이에 더해 신한은행은 올해부터 그룹 통합 보안 관제 센터 모니터링을 강화해 비상 대응반을 확대 운영 중이며, 하반기에는 과학기술정보통신부 주관의 제로 트러스트(Zero Trust) 실증 사업에도 참여할 예정이다.

우리은행은 최근 서버 해킹, DDoS(디도스) 공격 등 사이버 테러 대응 역량을 제고하기 위해 전산 시스템 복구, 재해복구(DR)센터 운영 훈련을 진행했다. 지난달에는 ‘정보보호의 날’을 맞아 사이버 침해 사고에 대비한 고객 정보 유출 대응 모의 훈련을 실시하기도 했다. KB국민은행은 정보 보호 업무를 수행하는 정보보호본부를 준법감시인 산하로 이관하는 조직 개편을 단행했다. 이는 준법과 정보 보호 체계를 일원화해 업무 간 유기적 연계를 강화하고, 내부 통제 운영의 효율성을 높이기 위한 조치다. 토스뱅크는 지난 6월 사이버 보안 엔지니어 부트 캠프를 여는 등 보안 인재 양성에 힘쓰고 있다.

금융권, 해킹 앞에 '속수무책'

은행들이 이처럼 줄줄이 보안 투자를 확대하는 것은 국내 금융권의 사이버 공격 피해가 꾸준히 누적되고 있기 때문이다. 지난 6월 국회 정무위원회 소속 국민의힘 강민국 의원이 금융감독원으로부터 제출받은 자료에 따르면, 2020년부터 2025년 6월까지 금융업권에서 발생한 해킹 침해 사고는 총 27건이었다. 이로 인해 유출된 개인정보는 총 5만1,004건에 달했다. 연도별로는 △2020년 8건(정보 유출 23건), △2021년 5건(2만9,805건) △2022년 1건(0건) △2023년 5건(1만8,029건) △2024년 4건(5건) △2025년(6월 기준) 4건(3,142건)이 보고됐다.

해킹이 가장 빈번하게 발생한 업권은 은행권(12건, 44.4%)이었으며, 이어 △증권사 6건 △저축은행·손해보험 각 3건 △카드사 2건 △생명보험 1건 순이었다. 그러나 정보 유출 피해 규모는 업권별로 차이를 보였다. 저축은행에서 유출된 정보가 3만6,974건(72.5%)으로 가장 많았고, △증권업권 1만883건 △카드업권 3,426건, △생명보험 2,673건 △은행업권 474건이 뒤를 이었다. 손해보험에서는 정보 유출이 발생하지 않은 것으로 나타났다. 

해킹 침해 사고 발생에 따른 피해자 보상은 매우 제한적이었다. 6년간 금융업권으로부터 배상을 받은 피해자는 148명에 그쳤고, 배상액은 총 1억9,526만원으로 집계됐다. 가장 많은 배상이 이뤄진 업권은 △카드업권(2021년 신한카드, 73명)으로, 피해자에게 전체 배상액의 90%에 달하는 1억7,739만원을 지급했다. 이어 △저축은행(키움예스저축은행, 72명) △증권업권(삼성증권, 3명)이 뒤를 이었다.

보안 투자 비중 현저히 낮아

금융권에서 빈번하게 해킹 사고가 발생하는 원인으로는 부족한 보안 투자가 지목된다. KISA에 따르면 국내 주요 플랫폼 및 금융 기업 5곳의 지난해 매출액(연결 기준) 대비 정보 보호 부문 투자액 평균 비중은 0.22%에 그쳤다. 국내 대표 플랫폼인 네이버의 지난해 정보 보호 투자액은 약 553억원으로 연간 매출액 대비 0.52% 수준으로 집계됐다. 약 247억원을 집행한 카카오는 0.31%였다. KB국민은행·신한은행·우리은행의 경우 각각 0.08%, 0.08%, 0.11%에 그쳤다. 이는 글로벌 표준과 비교하면 무척이나 낮은 수치다. 구글 딥마인드와 세계 최대 규모 은행 JP모건의 매출액 대비 정보 보호 투자액 비중은 각각 최대 0.9%와 0.7% 수준으로 알려져 있다.

국가 단위로 비교 범위를 확대하면 우리나라의 안이한 보안 투자 실태가 한층 두드러진다. 세계 주요국들은 IT 예산의 상당 부분을 정보 보호에 할애하고 있다. 글로벌 보험사 히스콕스가 2023년 발표한 ‘사이버 보안 실태 보고서’에 따르면, 미국의 IT 예산 대비 사이버 보안 비중은 26%에 달했다. 독일(24%), 영국·아일랜드·네덜란드(23%), 프랑스·벨기에(22%) 등도 해당 수치가 20%를 웃돌았다. 반면 KISA 통계상 한국의 IT 예산에서 사이버 보안이 차지하는 비율은 지난해 기준 6.44%에 그친다.

전문가들은 금융업의 특성을 고려해서라도 보안 역량을 빠르게 쌓아 나가야 한다고 지적한다. 한 시장 전문가는 “금융업은 수많은 민감 데이터를 다루고, 그 데이터 자체가 곧 자산이 되는 산업"이라며 "다른 산업보다 더 높은 수준의 보안 체계가 필요한 업계에서 지속적으로 보안 이슈가 발생한다는 것은 큰 문제”라고 짚었다. 이어 “지금이라도 보안 분야 투자를 대폭 확대하고, 유관기관과 협업 체계를 강화해 보안 공백을 적극적으로 메꿔야 할 것”이라고 덧붙였다.