잇따르는 금융권 보안 사고에 CISO 힘 실어주는 금융당국, 업계 노력에도 불신은 여전

금융당국·국회, 나란히 금융사 CISO 권한 강화 추진
반복되는 해킹·정보 유출 사고로 소비자 우려 가중
보안 체계 개편 나선 금융권, 시장은 "솜방망이 처벌이 문제"

금융위원회가 금융사 내부 보안 수준을 높이기 위한 조치를 검토하고 나섰다. 금융사 정보보호최고책임자(CISO)에게 타 부서 보안 관련 자료를 볼 수 있는 권한을 부여, CISO의 영향력을 강화하고 전사적 보안 대응을 유도하겠다는 구상이다. 이는 롯데카드 해킹 사태·신한카드 내부 정보 유출 사태 등 올해 들어 반복된 금융권 보안 사고를 고려한 조치로 풀이된다.

금융사 보안 강화 유도하는 금융위·국회

30일 금융당국에 따르면, 금융위는 금융사 CISO의 권한을 강화하는 방안을 검토하고 있다. 향후 제정될 디지털금융보안법에 CISO가 보안 점검에 필요한 정보를 다른 부서에서 제공받을 수 있도록 하는 조항을 포함하는 것이 골자다. 디지털금융보안법은 금융사 자율적으로 보안 체계를 구축하게 하되, 사고 발생 시 높은 수준의 징벌적 과징금을 부과하는 방향으로 제정된다. 금융위는 조만간 주요 금융사 관계자들의 의견을 수렴한 뒤, 국회에도 이 같은 안을 제출할 계획이다.

금융위가 CISO 권한에 초점을 맞추는 것은 곳곳에서 기업들이 금융 보안을 정보보호부서만의 일로 여기고, 관련 역량 강화에 전사적으로 힘을 쏟지 않는다는 지적이 이어졌기 때문이다. 실제 현재 금융사 내 CISO는 C-레벨 직함을 달고 있지만, 최고재무책임자(CFO)나 영업 담당 임원 등보다 사내 입지가 작다는 평을 받는다. 보안 조직을 수익 없는 부서로 치부하거나, 규제 충족을 위한 ‘방어막’ 정도로 여기는 경우가 빈번한 탓이다. 한 금융권 관계자는 "CISO는 예산 확보나 인력 운용, 시스템 도입 등 의사결정 권한을 온전히 부여받지 못하는 일이 많다"며 "사실상 문 역할에 그치는 게 현실"이라고 전했다.

국회에서도 CISO의 입지를 확대하기 위한 입법 논의가 이어지고 있다. 지난달 유동수 더불어민주당 의원은 CISO 권한을 강화하는 내용을 골자로 하는 '전자금융거래법 일부개정법률안'을 발의했다. 해당 법안에는 대표이사가 CISO에게 업무를 독립적으로 수행할 수 있도록 실질적인 권한과 책임을 부여하고, CISO를 임명할 때 이사회의 의결을 거치도록 하는 내용이 담겼다. 아울러 CISO가 소신 있는 보안 업무를 수행할 수 있도록 2년의 임기를 보장하고, 별도의 보수·평가 기준을 마련하도록 했다.

카드사 보안 허점 속속 드러나

금융당국과 국회가 나란히 금융사 보안에 초점을 맞추는 배경에는 최근 줄줄이 이어진 보안 사고가 있다. 지난 8월 롯데카드에서는 해킹으로 297만 명 규모의 고객 정보가 유출되는 사고가 발생했다. 2014년 카드 3사 대규모 개인정보 유출 이후 11년 만에 벌어진 대형 사고로, 유출 정보에는 일부 고객의 카드번호와 유효기간 등 결제 관련 정보도 포함된 것으로 알려졌다. 금융감독원과 금융보안원 등의 현장검사에 따르면, 해당 사고로 유출된 고객 데이터는 200기가바이트(GB)에 달한다. 이는 롯데카드가 당초 금감원에 보고했던 수준(1.7GB)의 100배 이상이다.

최근에는 신한카드에서도 가맹점 대표자 개인정보 19만2,088건이 유출된 사실이 확인되며 내부통제 문제가 불거졌다. 해당 사태에는 5개 영업소 소속 직원 12명이 연루된 것으로 파악된다. 이들은 2022년 3월부터 올해 5월까지 약 3년 2개월 동안 가맹점 대표자 이름과 휴대전화 번호, 생년월일 등 총 19만2,088건의 개인정보를 무단으로 빼돌렸다. 유출된 정보는 신규 카드 모집 영업에 활용된 것으로 확인됐다. 이들은 회사 보안 시스템의 로그 기록을 남기지 않기 위해 조회된 개인정보를 스마트폰으로 촬영하거나, 종이에 직접 적어서 공유하며 내부 통제망을 무력화했다. 신한카드는 3년 넘게 유출 사실을 인지하지 못하다가 최근 개인정보보호위원회에 접수된 공익 제보를 통해 사태를 파악했다.

장기간 영업 현장에서 고객의 개인정보가 무단 활용된 사건인 만큼, 사태가 수면 위로 드러난 뒤 곳곳에서는 신한카드 내부 정보 관리 체계의 허점에 대한 비판이 쏟아져 나왔다. 신한카드는 "외부 해킹이 아닌 일부 임직원의 일탈"이라고 설명했지만, 카드 모집인을 활용해 신규 가입자를 모으는 카드업계 영업 특성상 비슷한 방식의 정보 유출이 추가로 발생할 수 있다는 소비자들의 우려는 쉽사리 가라앉지 않는 추세다.

보안 강화 노력에도 우려 지속

보안 사고가 반복되며 관련 여론이 급격히 악화하자, 금융사들은 자체 보안 체계 재정비에 나섰다. 일례로 농협은행은 그룹 내 정보보안 전문가로 꼽히는 정태영 농협은행 부행장을 CISO 겸 개인정보보호책임자(CPO)로 앞세우고, CPO가 이찬우 농협금융지주 회장에 직접 보안 관련 사안을 보고하는 체계를 구축했다. 지주 회장 직속으로 CPO를 배치하는 은행은 드물다. 은행권의 CPO는 은행장 직속이거나 준법감시인 산하에서 직무를 수행하는 경우가 대부분이기 때문이다. 특히 부행장급이 정보보호를 총괄하는 은행은 농협은행이 유일하다.

카드사들도 보안 관련 예산을 증액하고, 관련 인력을 충원하는 등 사고 대비를 강화 중이다. 국회 정무위원회 박찬대 더불어민주당 의원이 8개 카드사에서 제출받은 자료에 따르면, 카드사의 정보보호 예산은 지난 2021년 1,074억원에서 2025년 1,317억원으로 약 22.6% 증가했다. 카드사별로 보면 KB국민카드의 올해 정보보호 예산이 259억3,000만원으로 가장 많았으며, 정보보호 인력은 현대카드가 120명으로 가장 많았다. 현대카드는 최근 5년간 정보보호 예산을 83.4% 증액하며 8개 카드사 중 가장 높은 증가율을 기록하기도 했다.

다만 시장에서는 단순 자금 투입 확대 및 전문 인력 기용만으로는 근본적 문제가 해결되지 않을 것이라는 지적도 나온다. 한국 금융권의 제도적·의식적 한계가 보안 사고 위험을 높이고 있다는 시각이다. 우리나라는 선진국과 비교했을 때 개인정보 유출 사고에 대한 처벌 기준이 미흡한 편이다. 개인정보 유출 사고에 따른 집단소송 사례가 누적돼 있지 않다 보니 처벌 수위를 결정하는 기준이 구체적이지 않고, 이 때문에 집단소송을 제기하더라도 피해자들이 제대로 된 손해배상을 받지 못하는 경우가 많다.

당장 8월 벌어진 롯데카드 개인정보 유출 사태와 관련한 금융당국의 처벌 수준도 아직 정해지지 않았다. 최대 800억원 규모의 과징금이 부과되리라는 업계 전망이 존재할 뿐, 사고가 일어난 지 4개월이 지난 현재까지도 실질적인 논의는 답보 상태다. 설령 과징금이 부과돼도 선진국 대비 제재 수위가 높지 않아 금융사·기업들의 경각심이 제고되기 어렵다는 점도 문제다. 일각에서는 보안 체계 강화 등에 투입되는 투자 비용, 인건비 등보다도 과징금 규모가 작아 기업들의 보안 의식이 떨어진다는 지적마저 제기된다.