주요 시중은행들이 정보기술(IT) 투자 확대와 더불어 정보보호 예산도 늘리고 있다. 단순히 시스템 고도화 차원이 아니라, 해킹·랜섬웨어 공격이 금융안정을 위협하는 ‘실질 리스크’로 떠오른 데 따른 대응이다. 금융당국이 정보보호최고책임자(CISO)의 권한 강화를 예고한 만큼 올해도 은행의 보안 역량 강화를 위한 투자는 지속 증가할 것으로 보인다.
19일 한국인터넷진흥원(KISA)의 정보보호 공시에 따르면 지난해 KB국민·신한·우리은행의 정보기술(IT)투자 총액은 1조3556억원에 달했다. 이 가운데 정보보호 부문 투자만 1239억원에 이르렀다.
은행별로는 우리은행이 444억원으로 가장 많았고, 국민은행이 425억원, 신한은행이 370억원을 기록했다. IT 투자 대비 보안 투자 비중을 따져보면 우리은행이 12.3%로 이들 중 가장 높았고, 국민은행과 신한은행은 각각 7.5%, 8.6% 수준으로 나타났다.
전년과 비교해도 증가세가 두드러진다. 신한은행은 2023년 대비 보안 투자를 28.4% 늘렸고, 국민은행과 우리은행도 각각 1.0%, 3.7% 증가한 것으로 나타났다. 은행별 전략 차이는 있지만 ‘보안 강화’라는 공통된 기조가 뚜렷한 셈이다.
구체적인 활동을 보면 국민은행은 지난해 민간분야 주요정보통신기반시설 평가에서 ‘최우수 등급’을 획득했고, 과학기술정보통신부와 KISA가 주관한 ‘제로트러스트 도입 시범사업’을 완수했다.
신한은행은 임직원 보안 문화 정착에 힘을 쏟았다. 지난 1년간 22건의 보안 활동을 진행하고 임직원 교육·훈련만 14차례 실시했다. 내부 인적 보안 리스크를 최소화하겠다는 전략이다.
우리은행은 기술적 대응에 집중했다. 국내 은행 최초로 AI 알고리즘 보안성 검증을 시행했고, 해외 IP 차단 서비스와 이상거래 탐지시스템을 고도화했다. 다크웹 모니터링, 사이버 공격 모의훈련, 정보보호시스템 재해복구 모의훈련도 병행하며 선제적 방어 체계를 구축했다.
조직 차원의 변화도 나타난다. KB국민은행 IT 인력 1885명 가운데 97명(5.1%)이 정보보호 전담 인력으로 집계됐고, 신한은행은 1303명 중 91명(7.0%), 우리은행은 1080명 중 74명(6.8%)이 보안 담당이다. 세 은행 모두 CISO를 임원급으로 두고 책임성을 높였다.
올해도 금융당국의 기조에 맞춰 정보보호 투자 금액은 늘어날 전망이다. 금융당국은 SGI서울보증 랜섬웨어 사고 이후 보안체계 미흡으로 중대한 보안사고가 발생할 경우 ‘징벌적 과징금’을 부과하고, CISO의 권한을 강화하는 방안을 추진하고 있다.
다만 공시 제도적 한계가 여전하다는 지적이다. 현재 은행의 정보보호 공시는 의무가 아닌 자율 공시다. 하나은행이 공시에 참여하지 않은 것도 이 때문이다. 현행법상 매출 3000억원 이상 상장사, 기간통신사업자, 클라우드 사업자, 상급종합병원 등이 공시 의무 대상이고, 일일 평균 이용자 수 100만명 이상 정보통신서비스 기업도 포함되지만 금융사는 빠져 있다.
은행권 관계자는 “CISO의 권한이 강화되면 보안 관리 역시 좀 더 철저해질 것으로 보고 있다”면서 “금융의 특성상 고객의 신뢰와 연결돼 있는 만큼 사이버 위협을 사전에 예방할 수 있도록 노력할 것”이라고 말했다.
한재희 기자
onej@chosunbiz.com