“보여주고 싶지 않으니까 그런거 아닐까요.”
몇 달 전 한 금융사 직원과의 대화에서 나온 짧은 답변이 잔상처럼 남았다. “왜 금융사는 IT·보안 예산을 구체적으로 공개하지 않느냐”고 묻자 돌아온 답이었다. 당시엔 농담처럼 들렸지만, 롯데카드 해킹 사고를 계기로 돌아보니 금융권 보안 현실을 가장 정확히 묘사한 말일지도 모른다.
최근 롯데카드 해킹으로 수백만명의 개인정보가 유출됐다. 금융당국은 CEO 책임을 강조하며 전사적 보안 강화 대책을 촉구했다. 하지만 정작 금융사가 실제로 얼마나, 어디에 보안 투자를 하고 있는지에 대한 대답은 여전히 어렵다. 금융사가 예산 공개를 꺼리기 때문이다.
금융사 보안예산은 공시 의무가 없어 일반 소비자는 구체적 현황을 알기 힘들다. 공시 자체가 자율에 맡겨지다 보니 보안 강화 유인도 떨어진다 .공식적으로 확인 가능한 건 2년마다 한국은행이 발표하는 업권 통계뿐이다. 그마저도 개별 회사 단위로는 추정조차 쉽지 않다.
현재 소비자가 볼 수 있는 건 각 회사가 자율적으로 발간하는 지속가능경영보고서정도다. 하지만 해당 보고서에는 사회공헌 활동, 친환경 투자처럼 기업이 보여주고 싶은 이야기만 화려하게 담겨 있을 뿐, 보안예산은 다른 지표들과 섞여 모호한 비율로 제시되거나 아예 빠져 있기도 하다. 결국 추측하는 것 외에는 방법이 없다.
일부 대형 금융사가 예외적으로 구체적 수치를 공개하고 있기는 하다. 보험업권에서는 삼성생명이 지난해 IT예산 2915억원 중 289억원을, 삼성화재가 3654억원 중 425억원을, 한화손보가 828억원 중 74억원을 각각 정보보호에 사용했다고 밝히고 있다.
하지만 이는 아주 예외적인 경우에 속한다. 나머지 대부분 금융사는 전체 IT예산 중 정보보안에 투자하는 비율 정도만 보여주고 있다. 금액이 얼마인지, 어떤 항목에 어떻게 쓰였는지 확인할 방법이 없다. 언급조차 하지 않는 회사들도 상당수다.
이번에 롯데카드 해킹 사고에서 보듯, 카드사 역시 다른 금융업권과 크게 다르지 않다. KB국민카드를 제외한 나머지 회사들의 정보보안 예산은 베일에 싸여 있다. IT예산의 10% 안팎이라는 사실도 그나마 이번 국회 자료를 통해 드러났을 뿐이다.
금융사들은 영업이익이 줄어 신규 투자 압박이 심해지면서 보안예산도 뒷전으로 더욱 밀릴 수 밖에 없다고 토로한다. 자금 여력이 약한 중소형사의 경우, 특히 심하다.
그러나 이것이 면피가 될 수는 없다. 개인정보 유출은 회사의 규모를 가리지 않는다. 카드 한 장, 보험계약 한 건만으로도 개인 금융정보가 범죄에 악용될 수 있다. 회사 사정에 따라 보안 수준을 달리하는 지금의 구조가 소비자 불안을 키우는 이유다.
금융당국은 이번 롯데카드 사태를 계기로 CEO 책임론과 징벌적 과징금 부과, CISO 권한 강화 등 제도 개선을 예고했다. 그러나 보안예산 자체가 깜깜이라면 근본적 대책이 되기 어렵다.
보안은 비용이 아니라 금융사의 생존 조건이다. 각 사가 정보보호 예산과 운용 내역을 구체적으로 공개하도록 의무화하지 않는다면 또 다른 해킹사고는 언제든 등장할 수 있다.
전대현 기자
jdh@chosunbiz.com
- 금융위, 금융사 CISO 긴급 소집… “보안, 사운 걸고 챙겨라”
- 보안강화 목소리 커지는데… 카드사 CISO, 신한 빼고 죄다 겸직
- 조좌진 롯데카드 대표 “보안 인증 문제보다 회사 책임 더 커”
- 롯데카드 “고객정보 유출 고객 중 40% 긴급 조치”
- 롯데카드 보안예산 비중 5년새 급감… MBK “투자 계속했다” 반박
- 김민석 “해킹과의 전쟁…정보보호 대책 마련 최우선”
- [단독] 兆단위 순익 4대 은행, 보안투자 비중 인뱅 10분의 1
- 해킹 사고 롯데카드 “재발급 신청 116만명, 76% 발급 완료”
- 금감원, 7년간 카드사 67회 검사했지만… 보안 점검은 ‘0’