"가뜩이나 사고 잦은데" 정보보호 예산 삭감하는 저축은행, 이대로 괜찮은가

상위 저축은행 10곳 중 6곳, 정보보호 예산 삭감
보안 취약한 저축은행 업권, 정보 유출 사고 속출
정부 '칸막이 대응 체계' 개선 필요성 제기돼

10대 저축은행 중 6곳이 올해 정보보호 예산을 삭감한 것으로 확인됐다. 지난 수년간 업권 내에서 해킹 및 정보 유출 사고가 수없이 발생했음에도 불구, 대응 체계를 강화하기는커녕 오히려 관련 비용 지출을 줄인 것이다. 시장에서는 향후 정부가 탄탄한 해킹 대응 체계를 마련하지 못할 경우, 단순 저축은행 업권을 넘어 IT 시스템 전반에 대한 불신이 확산할 수 있다는 우려가 나온다.

저축은행 업권, 보안 투자 줄였다

1일 국회 정무위원회 김상훈 국민의힘 의원실이 금융감독원으로부터 받은 저축은행 정보보호 예산 연간 편성액 현황에 따르면, 자산 규모 상위 저축은행 10곳 중 6곳이 전년 대비 정보보호 예산을 감축한 것으로 나타났다. 올해 자산 규모를 늘리며 1위까지 올랐던 OK저축은행은 정보보호 예산을 지난해 81억원에서 올해 57억원으로 가장 크게 삭감했다. OK저축은행은 수년째 업계에서 가장 높은 수준의 정보보호 예산액을 유지 중이다.

웰컴금융그룹의 웰컴저축은행도 관련 예산을 지난해 23억원에서 올해 18억원으로 줄였다. 이 외에도 △DB저축은행 △신한저축은행 △하나저축은행 △페퍼저축은행이 전년보다 정보보호 예산을 감축했다. 10개 저축은행 모두 전년 대비 총예산이 늘었음에도 불구, 정보보호 예산은 그대로거나 줄어든 곳이 대부분이었던 셈이다.

정보보호 인력 비율(IT 담당 인력 대비 정보보호를 전담하는 인력의 비율)이 줄어든 곳도 있었다. 10개사 중 전년 대비 정보보호 인력 비율이 감소한 곳은 △OK저축은행(9.4%→9%) △웰컴저축은행(6.7%→6.4%) △신한저축은행(11.8%→11.1%) 등이었다. 다만 3사의 해당 비율은 여전히 금융보안원이 제시한 자율기준(IT 인력 중 5%)에 부합하는 수준이다.

저축은행 보안 특히 취약해

시장에서는 저축은행 업권의 이 같은 행보가 지나치게 안이하다는 비판이 제기된다. 저축은행들의 부실한 보안 체계가 이전부터 꾸준히 문제가 돼 왔기 때문이다. 지난 6월 국민의힘 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면, 지난 2020년부터 약 6년간 해킹 침해사고로 유출된 정보는 5만1,004건이다. 이 중 저축은행에서 발생한 정보 유출은 3만6,974건으로, 자그마치 72%의 비중을 차지했다.

저축은행권 해킹 사고의 심각성은 실제 사례를 살펴보면 한층 명확히 확인할 수 있다. 일례로 지난 2023년 모아저축은행은 대출 신청 서버에 대한 불법적인 접근 시도가 있었으며, 조치를 취했지만 일부 고객의 개인 정보가 유출됐다고 밝혔다. 당시 모아저축은행 관계자는 "내부 조사 결과 2023년 9월 11일께 해킹 시도가 있어 방화벽 등 자동 차단이 이뤄졌지만 대출 신청 고객의 이름과 휴대전화 번호, 주민번호 등이 유출된 것으로 확인됐다"고 설명했다.

지난 8월에는 웰컴금융그룹 계열사인 대부업체 웰릭스에프앤아이대부가 해외 해커 조직으로부터 랜섬웨어 공격을 당하기도 했다. 다크웹을 통해 해당 사건이 자신들의 소행임을 밝힌 한 러시아계 해커 조직은 "웰컴금융그룹 모든 고객의 데이터베이스를 갖고 있다"며 "여기에는 고객 이름, 생년월일, 자택·사무실 주소, 계좌, 이메일 등 수많은 정보가 포함된다"고 주장했다. 아울러 확보한 웰컴저축은행의 내부 자료가 1.024테라바이트(TB) 규모로, 파일 개수만 132만 개에 달한다고 밝혔다.

미적지근한 대응, 정부 체계도 비효율적

해킹 침해 사고 발생에 따른 피해자 보상 역시 매우 제한적이다. 2020년부터 6년간 금융권으로부터 배상을 받은 피해자는 148명에 그쳤고, 배상액은 총 1억9,526만원으로 집계됐다. 가장 많은 배상이 이뤄진 업권은 카드업권(2021년 신한카드, 73명)으로, 피해자에게 전체 배상액의 90%에 달하는 1억7,739만원을 지급했다. 반면 같은 기간 피해자 배상에 나선 저축은행은 키움예스저축은행(72명)뿐이었다.

주목할 만한 부분은 이 같은 문제가 비단 저축은행 업권을 넘어 한국 산업계 전반에서 관측되고 있다는 점이다. 과학기술정보통신부의 ‘2024 정보보호 실태조사’ 결과를 살펴보면, 침해사고를 경험한 기업 중 별다른 사후 대응을 하지 않은 기업의 비율은 67.7%에 달했다. 대응에 나선 기업도 보안 솔루션 구축·고도화(11.7%), 위탁관리 업체에 피해 보상 요구(11.3%), 내부 정책 수립·수정(9.3%) 등 형식적인 방식을 택한 경우가 대부분이었다. 침해 사고를 당하고도 신고하지 않은 비율은 80.4%나 됐다. 자체 정보보호 정책을 수립한 기업은 51.6%, 정보보호 조직을 둔 곳은 32.6%에 불과했다.

전문가들은 정부가 나서 보다 효과적인 해킹 대응 체계를 마련할 필요가 있다고 지적한다. 현행 제도상 공공 분야 정보 보호는 국가정보원이, 국방 분야는 사이버작전사령부가, 민간 기업은 과학기술정보통신부와 한국인터넷진흥원(KISA)이, 금융은 금융위원회와 금융보안원이 각각 맡고 있다. 일원화된 대응 체계가 사실상 없다는 의미다. 대통령실 국가안보실이 컨트롤타워 역할을 수행하지만, 사실상 사이버 범죄를 전문적으로 조율하기에는 역량이 부족하다는 평이 대부분이다.

적용되는 법도 각기 다르다. 민간 기업이 해킹 피해를 볼 경우 정보통신망 이용 촉진 및 정보보호법이, 금융권 보안 사고에는 전자금융거래법과 신용정보이용보호법이 각각 적용된다. 이와 관련해 한 시장 전문가는 "현행 제도는 분야별 특성과 전문성을 고려하기 위한 것이지만, 해킹 범죄가 교묘해지고 산업 간 경계가 흐려지며 그 효용성이 점차 퇴색되는 추세"라며 "효율적인 대응을 위해서는 부처 간 정보 공유나 공조가 신속하게 이뤄질 수 있도록 체계를 정비해야 한다"고 짚었다.