인터넷은행 보안 투자 시중은행 압도 … ‘망분리 완화’ 앞두고 보안 체급 키워

금융권 숙원이었던 '망분리 완화'와 'AI(인공지능) 도입'을 앞두고 인터넷전문은행들의 보안 투자가 전통 시중은행을 압도하고 있다. 규제 완화 시대의 핵심 조건인 '자체 보안 역량'을 선제적으로 확보해 미래 금융 시장의 주도권을 잡겠다는 포석으로 풀이된다.

30일 금융권에 따르면 1금융권 시중은행과 인터넷전문은행들은 올해 잇따라 정보보호 현황을 공개했다. 현재 금융권 보안 공시는 의무가 아닌 자율이지만, 공시에 참여하지 않은 곳은 NH농협은행과 케이뱅크뿐이다. 하나은행과 카카오뱅크는 올해 처음으로 정보보호 자율 공시에 동참했다.

은행들이 공시에 나선 이유는 보안에 대한 경계심이 높아졌기 때문이다. 다양한 산업분야에서 대규모 사이버 침해사고가 잇따르면서 가장 높은 수준의 보안을 자랑하는 금융권도 안심할 수 없다는 위기감이 작용했다. 정보보호산업법 시행령 개정에 따라 금융권에서도 오는 2027년부터 의무 공시 대상에 포함된다는 점도 영향을 미쳤다.

이번 공시에서 가장 눈에 띄는 대목은 인터넷은행들의 공격적인 투자 비율이다. 정보기술부문(IT) 투자액 대비 정보보호부문 투자액 비율은 카카오뱅크(12.4%)와 토스뱅크(11.9%)가 시중은행(하나 9.0%, 국민 8.15%, 신한 7.96%)을 제치고 나란히 1, 2위를 차지했다.

두 자릿수 보안 투자 비율은 금융권뿐만 아니라 국내 전체 산업군을 통틀어 최상위권 수준이다. 올해 보안 공시에서는 빠졌지만, 케이뱅크 역시 다른 인터넷은행들과 유사한 수준의 투자 기조를 유지하는 것으로 알려졌다.

전통 은행들이 절대적인 투자 금액(300억~400억원)에서는 앞섰지만, 인터넷은행들은 전체 IT 예산 중 보안에 더 큰 비중을 배분하며 정보보호를 핵심 투자 분야로 삼고 있음을 보여주는 대목이다. 이는 망분리 완화 시대를 맞아 클라우드와 AI 활용도가 높은 인터넷은행들이 선제적으로 보안 인프라를 확충하고 있음을 시사한다.

정보보호 전담인력 비중에서도 인터넷은행과 시중은행 간 격차가 나타났다. 카카오뱅크(9.1%)를 필두로 토스뱅크(7.8%)와 신한은행(7.5%), 하나은행(7.4%)과 국민은행(5.13%) 순으로 집계됐다.

토스뱅크는 인력비중 자체는 비슷한 수준이지만, 외주가 아닌 자체 인력이 차지하는 비중이 94.7%로 압도적인 1위를 차지했다. 카카오뱅크(66.5%)와 국민은행(65.6%), 신한은행(55.5%)이 뒤를 이었고 하나은행은 49.1%로 외주 인력 비중이 더 높았다.

금융권에서 내부 인력 비율을 무겁게 받아들이는 이유는 금융당국이 망분리 완화를 추진하면서 내거는 핵심 전제조건이 '자체 보안 역량과 내부 통제'이기 때문이다. 외주 인력에 의존하는 보안 구조는 책임 소재 규명이나 긴급 침해사고 대응에서 취약할 수밖에 없다는 당국의 문제의식이 반영된 것으로 보인다.

각 은행들이 공시에 첨부한 세부 활동 내역에서도 시중은행과 인터넷은행 간 보안의 미래 방향성 차이가 드러난다. 신한은행과 하나은행 등 전통 시중은행은 대외 수상 실적과 기존 FDS(이상거래탐지시스템) 고도화, 임직원 교육훈련 등 컴플라이언스 준수와 관리강화 위주 항목이 주를 이루고 있다. 반면 카카오뱅크는 공시 내용에 ‘LLM 프롬프트 공격 탐지모델 고도화’, ‘LLM 클로즈드 버그바운티’ 등 생성형 AI 도입에 따른 보안위협 대응책을 내세웠다.