롯데카드 대규모 해킹사고 등 올 들어 금융권에서 각종 사이버사고가 잇따르면서 재발을 막기 위한 대응에 움직임이 커지고 있다. 저축은행업권에서도 크고 작은 사고가 나타나고 있어 안심할 수 없는 상황이기에 보다 전문적인 보안 체계의 강화가 요구되고 있다. 7일 국회 정무위원회 소속 강민국 의원이 금융감독원으로부터 제출받은 자료에 따르면 2020년부터 올해 6월까지 국내 금융권 해킹 침해사고는 총 27건 발생했다. 이로 인한 정보 유출 건수는 총 5만1004건으로 집계됐다. 사고 건수로 보면 은행업권이 12건(44.4%)로 가장 많았고 증권업권(6건)과 저축은행 및 손해보험업권(각 3건)이 뒤를 이었다. 그러나 피해 규모 측면에서만 보면 저축은행의 피해가 가장 컸다. 저축은행에서의 정보 유출 건수는 3만6974건으로 전체 금융권 정보 유출의 약 72.5%를 차지해 가장 많았다. 이어 증권업권이 1만883건, 카드업권이 3426건, 생명보험업권이 2673건, 은행업권이 474건을 기록하며 뒤를 이었다. 실제로 올해 상반기 저축은행업권에서 발생한 사이버사고를 살펴보면 대규모 개인정보 유출 사고들이 다수 포함돼 위기감이 커지고 있다. 개인정보 유출 피해 외에도 랜섬웨어 등 악성코드 감염으로 인한 시스템 침해 피해도 보고된 상태다. 지난 8월 웰컴금융 계열사인 웰릭스에프앤아이대부는 랜섬웨어 공격으로 인해 고객 개인정보 유출 가능성이 제기되기도 했다. 이에 대해 금융당국이 긴급 대응에 나서는 등 시스템 마비나 데이터 암호화 피해에 대한 위기감이 부각됐다. 해당 사건 이후 디도스(DDoS, 서비스 거부) 공격에 따른 피해나 악성코드 및 피싱 유포를 통한 계정 탈취 문제 등이 지속적으로 거론되는 상황이다. 저축은행들은 이에 대응해 보안 체계 강화에 나서고 있다. 업계에 따르면 8월 기준 국내 저축은행 업권 전체 직원 대비 IT 인력 비중은 평균 약 11% 수준으로, 금융업권 전체 평균과 비슷한 수준이다. 실제로 현재 저축은행 IT 인력은 1031명으로, 전체 9456명 대비 11% 가량을 차지한다. 다만 IT 인력이 최근 5년간 평균 10%대에 머무는 등 정체기를 벗어나지 못하고 있어 해당 수치가 유의미하지 않다는 비판도 있다. IT 인력이 10% 이상을 차지하는 상황에서 롯데카드의 대규모 정보 유출사고나 웰컴금융 계열사 사고를 비롯해 랜섬웨어 해킹 등 사이버 공격 피해가 지속되고 있기 때문이다. 특히 저축은행의 경우 보안 전문 인력은 IT 인력 내에서도 제한적이며, 소형 저축은행들은 전반적으로 인력과 예산 규모에서 대형 은행 대비 현저히 낮은 것으로 분석된다. 사이버위협 대응체계의 경우 KB금융, 신한, 하나, 우리 등 금융그룹사들과 비교해 크게 뒤떨어지는 상황이다. 금융지주사는 주로 통합보안관제센터를 운영하면서 24시간 모니터링 및 머신러닝 기반 이상행위 탐지, 시나리오 분석을 통해 위협을 실시간 감시하고 있다. 저축은행 업계도 주요 그룹에서 통합보안관제 도입이 점차 확산 중이지만 대형 은행 대비 보안 인프라와 전문성 면에서 아직 취약하다는 평가다. 업계는 현재 사이버 공격 대비를 위해 망분리, 엔드포인트 탐지 및 대응(EDR), 모의해킹 훈련 등을 병행하고 있다. 저축은행은 우선 업권 내 협력 체계를 통해 위기 대응력을 높이고 있다. 다만 아직까지 완전한 수준에 미치지 못하고 있는 만큼 상대적으로 적은 인력규모와 정체된 신규 채용을 보완해 빠른 시일 내 전문성을 확보해 나가야 한다는 지적이다. 강 의원은 “'전자금융거래법'의 하위 규정에 대폭 강화된 IT 인력 확보 수준을 명문화시키고, 정보유출 등 중대한 금융 IT사고 발생 시 징벌적 과징금 부과 등의 제도개선 방안을 마련하는 것이 필요하다"고 말했다. 박경현 기자 pearl@ekn.kr

2025-10-07 16:01 박경현

SK텔레콤 대규모 정보유출 사고에 이어 KT에서도 무단 소액결제 피해가 광범위하게 발생하면서 KB국민은행, 우리은행이 제공 중인 알뜰폰 서비스의 보안 수준에 대해서도 관심이 커지고 있다. KB국민은행의 이동통신서비스인 'KB리브모바일(KB Liiv M)'은 이동통신 3사 망을 모두 제공 중이며, 우리은행 알뜰폰 서비스인 '우리WON모바일'은 LG유플러스 망만 사용하고 있다. 은행 알뜰폰 서비스의 경우 비대면으로 가입이 가능해 타인이 무단 개통할 소지가 있고, 해킹 사고가 발생하면 은행 계좌로도 접근이 용이해 어느 때보다 촘촘한 보안 체계를 구축해야 한다는 분석이 나온다. 23일 금융권에 따르면 KB국민은행과 우리은행은 보안체계를 강화해 각종 금융사고에 대비하고 있다. 우선 가입자 약 44만명을 보유한 KB국민은행 KB리브모바일은 유심복제 탐지 특허 기술로 유심복제 금융사기를 사전에 차단하고 있다. 365일 실시간 통합 보안관제 시스템으로 해킹 등 침해사고에 하는 한편, 신용정보법, 전자금융거래법, 전자금융감독규정 등 통신사보다 까다로운 법을 준수하고 있다. 특히 국민은행은 고객의 정보 보호를 위해 'KB 해킹보호 3종 서비스'도 무료로 제공 중이다. 이 중 '보이스피싱 예방 서비스'는 통화 중 국민은행 ATM으로 예금, 출금 또는 송금 거래시 해당 금융거래를 제한해 보이스피싱 사고를 예방하는 서비스다. 피싱보험서비스는 보이스피싱, 메신저피싱을 당하면 각각 최대 1000만원 한도로 피해액의 70%를 보상하는 서비스다. 여기에 재해로 인한 후유장애 50% 이상 발생시 매월 10만원의 통신비 12회를 확정 지급하는 '통신비보장보험서비스'도 무료로 제공 중이다. 우리은행의 우리WON모바일은 운영 서버 보안을 통제해 외부망은 접근이 불가능하고, 허용된 IP만 접근이 가능하다. 서버 데이터 유출 방지(Data Loss Prevention·DLP) 솔루션을 제공해 민감 데이터 유출을 막고, 서버 백신을 운영해 악성 코드와 바이러스에 실시간 대응하고 있다. 정보보안부에서는 접속 및 정보 접근 로그 관리와 검토, 보고 작업을 매일 수행 중이다. 우리은행은 올해 4월 알뜰폰 사업을 개시해 아직 사업 초기단계인 만큼 현재 ISMS(개인정보관리체계) 인증을 추진하는 등 보안 체계를 강화하는 노력도 지속하고 있다. 업계 관계자는 “은행 알뜰폰 사업은 단순히 통신사 망을 대여하는 구조로, 이동통신사 해킹 사고와의 연관성은 낮다"며 “은행 알뜰폰 브랜드의 시스템, 보안 체계는 이통 3사와 별도로 운영 중"이라고 강조했다. 전문가들은 알뜰폰 서비스가 100% 비대면 가입으로 이뤄지는 점을 주목하고 있다. 두 은행 알뜰폰을 개통하기 위해서는 신분증과 입출금 계좌, 본인 명의의 인증수단만 있으면 된다. 최근 해킹 조직들이 웹사이트 등에서 탈취한 개인정보로 알뜰폰을 부정 개통한 뒤 금융계좌, 가상자산 거래소 계정 등에 침입해 수백억원의 자금을 빼가는 범죄를 저질러 경찰에 검거된 가운데 은행 알뜰폰도 언제든지 이러한 사고에 노출될 수 있는 셈이다. 게다가 은행 알뜰폰 서비스는 은행 계좌로도 접근도 용이해 해킹 사고가 발생하면 피해 범위는 급속도로 확산될 수 있다. 이에 따라 은행권도 이번 사고를 계기로 더욱 보안 체계를 강화해야 한다는 게 전문가들의 조언이다. 염흥열 순천향대 정보보호학과 교수는 “알뜰폰 사업자들은 원격 가입이 가능해 부정 가입 등의 사고가 빈번하게 발생한다"며 “복수의 강한 인증 방식을 통해 사용자를 식별하고, 가입을 허용하는 등의 강력한 보안 정책이 필요하다"고 밝혔다. 나유라 기자 ys106@ekn.kr

2025-09-23 16:09 나유라