SGI서울보증의 랜섬웨어 사고 이후 금융권 정보보호 체계에 대한 우려가 커지고 있다. 연이어 터지는 보안 사고에 금융당국은 정보보호최고책임자(CISO) 권한 강화와 징벌적 과징금 부과 등 강도 높은 대응책을 예고했다. 그러나 대다수 카드사들이 여전히 CISO를 다른 직책과 겸직시키고 있어 보안사고 발생 시 즉각적인 대응이 어려울 것이라는 우려가 나온다.
1일 카드업계에 따르면 전업 카드사 8곳(신한·삼성·현대·KB국민·롯데·하나·우리·BC카드) 중 전임 CISO를 둔 곳은 신한카드가 유일하다. 나머지 카드사는 대부분 개인정보보호책임자(CPO), 신용정보관리·보호인(CIAP) 등 유사 직책을 겸임하고 있다.
현재 신한카드는 남훈 정보보호본부장이 CISO직을 전임하고 있다. 반면 ▲삼성카드 손영설 정보보안담당 상무 ▲KB국민카드 박규하 정보보호본부장 ▲롯데카드 최용혁 정보보호실장 상무 ▲현대카드 장선영 정보보안실장 ▲하나카드 안중근 개인정보보호부장 ▲우리카드 전우영 정보보호본부 상무대우 ▲BC카드 강대일 정보보호그룹장 상무 등은 CISO 직책 외에 다른 업무를 함께 맡고 있다.
CISO는 기업의 사이버 보안을 총괄하는 최고 책임자다. 고객정보 보호와 보안 정책 수립, 사고 대응 체계를 이끄는 핵심 역할을 한다. 특히 민감한 금융 정보를 다루는 카드사 특성상 CISO 독립성과 전문성이 확보되지 않으면 단 한 번의 사고도 막대한 피해로 이어질 수 있다.
실제 카드업계에서는 크고 작은 보안사고가 반복되고 있다. 대표적인 사례가 2014년 카드 3사(국민·롯데·농협카드)의 고객정보 대량 유출 사건이다. 당시 외주업체 직원이 내부 시스템에 접근해 약 1억400만건의 개인정보를 무단 복사하면서 사회적 파장을 일으켰다.
지난해 초에는 우리카드에서 외주 협력사 직원의 부주의로 수천건의 고객정보가 외부로 유출되는 사고도 발생했다. 잇따른 사고에도 불구, 카드사 전반 정보보호 체계 개선은 더디게 진행되고 있다는 지적이다.
현재 대다수 카드사 CISO들은 CPO와 CIAP까지 겸직하면서 업무와 책임부담이 가중되고 있다. 정보보호 업무를 넘어 디지털 사업의 환경 변화와 관련 법령 개정사항 등도 수시로 파악하고 조치해야 한다. 과중한 역할을 동시에 수행하다 보니, 각종 보안 이슈나 현장 대응에서 즉각적인 판단과 조치를 내리기 어려운 구조적 한계를 지닌다는 지적도 나온다.
정보보호에 정통한 한 금융권 관계자는 “IT 인프라 대부분이 정보보호와 연결돼 있기 때문에 CISO의 책임과 업무가 과도하게 집중되고 있는 것이 사실”이라며 “보안 시스템 구성부터 개인정보 정책 수립, 현장 보안 실태 점검 등 모든 업무를 한 사람이 총괄할 시 사고 대응 속도가 늦어질 수 있다”고 말했다.
카드사들의 정보보호를 위한 예산 투입도 미흡한 수준이다. 한국은행에 따르면 2023년 기준 전체 카드사 IT예산 1조288억원 가운데 정보보호 예산은 984억원이다. 전체 IT예산의 9.6%에 그쳤다. 금융사고 발생 시 피해 규모를 감안하면 충분치 않다는 평가다.
금융권 정보보호 실무자는 “정보보호는 돈을 벌 수 있는 부서가 아니라는 인식이 경영진 사이에 강하게 박혀 있다”며 “정보보호를 위한 시스템 구축이 필요하다 제안해도 비용 문제로 항상 후순위로 밀려 책임만 크고 권한은 거의 없는 것이 CISO 직급”이라고 말했다.
당국도 이러한 문제 인식을 바탕으로 제도 정비에 나서고 있다. 금융위원회는 지난 30일 열린 ‘침해사고 대비태세 점검회의’에서 ▲CISO 권한 강화를 위한 제도 개선 ▲징벌적 과징금 도입 ▲금융권 통합 관제시스템 구축 ▲이사회 보고 의무 확대 ▲금융사별 보안 비교 공시 강화 등을 핵심 조치로 내놨다.
앞서 당국은 전자금융감독규정 개정을 통해 CISO가 보안 관련 사항을 정기적으로 이사회에 보고하도록 의무화했다. 보안 이슈를 단순 실무 차원이 아닌 ‘경영 리스크’로 인식하게 하려는 조치다. 카드업계를 향한 당국의 정보보호 강화 압박은 더욱 거세질 전망이다.
염흥열 순천향대 정보보호학과 명예교수는 “민감정보를 다루는 금융사의 경우 보안사고는 한 번 발생하면 되돌릴 수 없는 피해로 이어진다”며 “CISO는 독립성과 전문성을 모두 갖춰야 하는 자리인 만큼, 일정 규모 이상의 금융사는 CPO, CISO 겸직 등을 제한해 책임을 분리하는 방안도 고려할 필요가 있다”고 말했다.
전대현 기자
jdh@chosunbiz.com
- ‘서울보증 사태 재발막자’… 9월 금융권 보안 대대적 점검
- 공공기관 뚫은 해킹, 공통 원인 ‘자율 보안’…ISMS 사각지대 드러났다
- SGI서울보증 "전산시스템 복구, 전세대출보증 등 업무 재개"
- “SKT 꼴 날라”… 보험사, 보안 대책 나선다지만 예산 공개는 깜깜
- 반복되는 해킹 사고에 민·관 '보안 총력전'
- ‘초등생부터 억대연봉자까지’… 이색 특화카드 봇물
- 본업 흔들리는 카드사, ‘저마진’ 구매전용카드로 땜질
- 장사도 안되는데… 신한·삼성카드 이자비용 '쑥' 부담 커져
- 인뱅, 해외송금 시장 카드사에 완승… 신한카드 나홀로 분전
- 소잃고 외양간 고치는 SGI서울보증… '최저가' 입찰에 보안업계 빈축
- 40조 공룡된 車할부금융… 여신업계, 규제 빈틈 노려 이자장사 쏠쏠
- 끊이지 않는 카드사 전자금융사고… 마이데이터 괜찮나
- '우리동네 맛집' 알려주는 카드사… 비결은 결제 데이터
- 금융위, 보안 규정 손질… 규정 위반 시 책임 ‘건건이’ 묻는다
- [단독] 예고된 해킹?… 롯데품 떠난 롯데카드, 5년간 보안감사 '단 1회'
- ‘깜깜이 예산’이 불러온 금융보안 불안 [줌인IT]
- 신한카드 "AI로 지자체 결제 데이터 분석… 상권·소비패턴 파악"