롯데카드·SGI서울보증 등 해킹 사고 잇따라…당국 경고 수위 최고조우리·국민·신한은 수백억 투자·공시 … 하나·농협은 '뒷짐'금감원 "정보보안, 규제 아닌 신뢰"…부실시 엄정 제재 예고
  • ▲ ⓒ뉴데일리
    ▲ ⓒ뉴데일리
    잇따른 해킹 사고로 금융사 보안 체계가 도마에 오른 가운데, 하나은행과 NH농협은행은 정보보호 공시에 참여하지 않아 보안 투자 현황이 베일에 가려져 있다. 반면 KB국민·신한·우리은행은 자율적으로 수백억 원의 투자 내역과 활동을 공개해 뚜렷한 대조를 보이고 있다.

    4일 관련 업계에 따르면 롯데카드는 지난달 31일 온라인 결제 서버에서 약 1.7GB 분량의 데이터가 해킹으로 유출된 흔적을 확인했다. SGI서울보증은 지난 7월 시스템 장애 이후 러시아계 해커 조직으로부터 "내부 자료 13.2TB를 탈취했다"는 협박을 받았다. 웰컴금융그룹 역시 계열사 대부업체가 랜섬웨어 공격을 당해 132만건에 달하는 개인정보가 털렸다.

    이는 '고객 개인정보 유출'로 직결될 수 있어 문제의 심각석을 더하고 있다. 카드 부정 사용, 대출 사기, 신분 도용 같은 2차 범죄로 이어질 경우 소비자 피해가 눈덩이처럼 불어날 수 있기 때문. 실제 한국인터넷진흥원(KISA)에 따르면 올해 상반기 접수된 금융권 해킹·침해사고는 1034건으로, 불과 3년 만에 2.2배 늘었다.

    문제는 은행권의 대응이 제각각이라는 점이다. 우리은행은 지난해 444억원을, 국민은행은 425억원을, 신한은행은 370억원을 각각 보안 투자에 집행하며 정보보호 공시를 자율 게시했다. 국제 보안인증(ISO·IEC 27001) 취득, 모의 해킹 훈련, 24시간 관제 시스템 등도 공개했다. 반면, 하나은행과 농협은행은 단 한 줄의 공시도 내놓지 않았다. 법적 의무가 아니라는 이유에서다.

    정보보호 공시 제도는 기업의 보안 투자, 인력, 인증 등의 현황을 자율 또는 의무적으로 공개하는 제도다. 현행법상 매출 3000억원 이상 상장사, 기간통신사업자, 클라우드 사업자, 상급종합병원 등이 공시 의무 대상이다. 일일 평균 이용자 수 100만명 이상 정보통신서비스 기업도 포함되지만 금융사는 빠져 있다. 하나은행과 농협은행이 공시에 참여하지 않은 것도 이 때문이다.

    이 같은 행보는 최근 금융당국의 기조와도 정면으로 배치된다. 이찬진 금융감독원장은 지난 2일 임원회의에서 "정보보안은 단순한 규제 준수가 아닌 고객 신뢰 구축의 핵심"이라며 "내부통제 소홀로 사고가 발생하면 엄정 제재하겠다"고 경고했다. 롯데카드 사고와 관련해서는 비상대응체계를 가동하고, 피해액 전액 보상 절차를 마련하라고 직접 지시했다. 은행권 간담회에서도 "이자 장사에 몰두하면서 소비자 보호와 내부통제는 뒷전이라는 비판을 더는 외면하지 않겠다"고 밝힌 바 있다.

    전문가들은 은행권의 '정보공시 이중잣대'가 소비자 불신을 키우고 있다고 지적한다. 해킹 시도가 고도화되고 피해 규모가 확대되는 상황에서, 은행이 공시를 외면하는 것은 사실상 관리·감독 공백을 의미한다는 것. 자율 공시라는 명목으로 물러나 있는 것이 소비자들의 신뢰를 저버릴 수 있다는 지적이다. 이에 하나은행은 내년부터 정보보호 공시에 동참한다는 계획이다.

    금융소비자연맹 관계자는 "은행들이 수백억 원을 보안에 투자한다고 말은 하지만, 실제로 어디에 쓰이고 어떤 효과가 있었는지는 고객이 확인할 길이 없다"며 "정보보호 공시를 외면하는 것은 소비자 신뢰를 스스로 허무는 것"이라고 꼬집었다.