롯데카드 해킹으로 고객 297만명의 개인정보가 유출되는 등 금융권을 겨냥한 사이버 공격이 잇따르면서 정부가 대책 마련에 나섰다. 징벌적 과징금 등 강제적 조치를 통해 금융사들이 보안 투자를 소홀히 할 수 없도록 하겠다는 구상이다. 그러나 전문가들은 이러한 방식이 보안 체계를 단순한 비용으로만 인식하게 만드는 문화를 고착시킬 수 있다며, 관치적 접근을 벗어나 현장과 충분히 소통하며 현실적이고 지속가능한 해법을 만들어야 한다고 지적하고 있다. 22일 금융보안원 등에 따르면 국내 금융·보험업종의 IT 예산 대비 보안 투자 비율은 9.6% 수준으로, 국내 기업 평균(6.4%) 보다는 높지만 글로벌 주요 금융기관 평균과 비교하면 3%포인트(p) 이상 낮다. 금융사들이 수익 창출에 몰두하면서 고객 보호에 소홀한 것 아니냐는 비판이 나오는 이유다. 현장에서는 볼멘소리가 나온다. 고객정보를 취급하는 업권으로서 책임을 다하지 못했다는 지적을 피할 수 없지만, 미국·영국·일본 등에서도 꾸준히 해킹 사고가 발생하고 있기 때문이다. 권대영 금융위원회 부위원장은 지난 19일 정부서울청사에서 열린 과기정통부와의 합동 브리핑에서 “성공 사례를 해커들끼리 공유를 한다든지 교묘하게 진화되는 측면이 있다"며 디지털화가 촉진되고 망분리를 비롯한 제도가 바뀌는 과정에서 취약점이 늘어났다는 발언을 하기도 했다. 업계와 학계에서는 기업들의 투자를 촉진하는 것이 2014년 카드사 해킹 이후 국내 금융권이 사고를 막아왔던 기록을 다시 쓰기 위한 방법 중 하나로 보고 있다. 최고정보보호책임자(CISO) 권한을 강화하고 관련 조직 확대·인력 충원 등 일정 수준 이상의 자금을 보안에 투자한 기업들에게 △세제 지원 △과징금 경감 △감독 완화를 비롯한 '당근'을 제시해 밸류업 기조에 사이버 보안 역량을 포함시키자는 것이다. 징벌적 과징금을 비롯한 '엄중제재'에 초점을 두면 신사업 투자 위축, 고객 서비스 품질 하락을 비롯한 부작용이 발생할 수 있다는 이유다. 과징금을 물고 나면 '외양간'을 튼튼히 만들 자금이 부족한 기업들이 있는 점도 언급된다. 금융소비자 보호를 위한 정책 취지가 퇴색될 가능성이 있다는 의미다. 특히 카드사의 경우 상반기 순이익이 전년 동기 대비 18% 감소한 상황이다. 가맹수수료율 인하로 수익이 축소되고 대손 비용 부담 등도 커진 탓이다. 채용 시장이 얼어붙은 것도 실적 저하의 결과다. 보험사는 투자수익이 힘을 내고 있으나, 보험수익 감소 등 본업 부진으로 고심하고 있다. 사이버보안 분야의 전문가들은 기업들이 정보보호 관련 예산을 단순한 비용 지출이 아닌 투자로 여기는 문화가 확산돼야 한다는 견해를 표명했다. 이를 위해서는 정부 차원의 뒷받침 등 이해관계자들의 지원사격이 이뤄져야 한다는 점도 덧붙였다. 염흥열 한국개인정보보호책임자협의회 회장(순천향대 정보보호학과 명예교수)은 “현재의 공격 수준에 대한 금융권의 대응수준이 부족하다"며 “가장 중요한 점은 지속적인 취약성 관리로, 보호대책을 수립·운영·개선해야 한다"고 말했다. 금융당국이 언급한 신고 유인책에 대해서는 신고 절차 간소화, 익명 보장(경미한 사고시), 해킹사고 원인조사 지원을 비롯한 솔루션을 제시했다. 염 회장은 “법이 정하는 기간 내에 신고하는 경우로 한정하는 등 형평성 문제가 제기되지 않을 수 있는 조치가 수반돼야 한다"고 제언했다. 권헌영 고려대정보보호대학원 교수는 “금융권의 경우 과거 다양한 공격에 고생한 적이 있고, 그런 경험을 통해 정보보호 거버넌스와 투자를 확대한 바 있다"면서도 “정보보안 강화를 위한 조직 문화를 뿌리내리게 하는 등 전략경영의 핵심 분야로 발전시키지는 못했다"고 꼬집었다. 권 교수는 “사이버 보안을 기술의 영역에 두고 관련 전문가에게만 책임을 지우는 방식은 성공적일 수 없다"며 “국가 존망을 좌우하는 중요한 문제라는 점을 깨닫고 정부부처와 현장 및 개별 국민에 이르기까지 구체적 행동요령을 갖출 정도로 만반의 대비태세를 갖춰야한다"고 촉구했다. 나광호 기자 spero1225@ekn.kr

2025-09-22 13:23 나광호