“SKT 꼴 날라”… 보험사, 보안 대책 나선다지만 예산 공개는 깜깜
실행예산 공개는 삼성생명 비롯 3개사 뿐… "주요 지표 공시 의무화 필요"
SK텔레콤 유심 해킹 사태 이후 금융권 내에도 긴장감이 고조되고 있다. 보험업권에선 지난 4월 국가정보원이 하나금융파인드, 유퍼스트보험 2개사에서 고객과 임직원 1000여명의 개인정보가 유출된 정황을 파악한 데 이어, 5월 KB라이프생명에서도 서버해킹 사고가 발생했다.
금융권 내 보안사고 발생 시 개인정보 유출은 물론, 전산시스템 마비까지 연결될 수 있어 감독당국은 금융사 최고경영자(CEO)에게도 책임을 묻겠다고 강조하고 나선 상황. 이에 보험사도 정보보안 노력을 꾸준히 이어가고 있다. 다만, 예산 편성과 운용 현황에 대한 공시 기준이 미흡해 구체적인 가이드라인이 마련돼야 한다는 주장이 제기된다.
14일 금융보안원에 따르면 올해 상반기 금융권 전체에서 디도스(DDos), 서버 해킹, 악성메일 공격 등에 대비한 침해 대응 훈련은 총 334건 진행됐다. 유형별로는 악성메일 대응이 140건으로 가장 많았고, 디도스 84건, 서버 해킹 72건 훈련이 뒤를 이었다.
보험사도 이에 동참하고 있다. 최근 태광그룹 계열사 흥국생명과 흥국화재도 금융보안원과 함께 실전 대응 훈련에 나섰다. 금융보안원이 구축한 프로그램 시나리오에 따라 사이버 대피소 전환 및 서버 침투 차단 절차 등의 훈련을 거친 것으로 알려졌다.
보험사들은 정기적 모의 해킹과 금융보안원 훈련 참여 등을 통해 실질 대응을 강화하고 있다는 입장이다. 외부 컨설팅 전문업체로부터 매년 정보보안 컨설팅을 받거나 금융보안원으로부터 전자금융기반시설 점검을 정기적으로 수검받고 있다. 이밖에 차세대 방화벽을 구축해 노후화된 보안 솔루션 교체하거나 클라우드서버에 개인정검출시스템을 구축하는 식으로 보안 체계를 강화하고 있다.
하지만 정보보안 예산을 구체적으로 공개하는 보험사는 그리 많지 않다. 올해 지속가능경영보고서를 통해 IT예산 금액을 공시한 보험사는 ▲삼성생명 ▲삼성화재 ▲한화손해보험정도다. 삼성생명은 지난해 책정한 IT예산 2915억원 중 정보보안 관련 예산으로 289억원을 집행했다. 삼성화재도 IT예산 3654억원 중 425억원을 정보보호에 사용했다. 한화손보는 828억원 중 74억원을 관련 비용으로 지출했다.
나머지 보험사의 경우 구체적인 IT예산 규모가 아닌 비율로 대신하고 있다. 각사 지속가능경영보고서에 의하면 한화생명의 경우 지난해 전체 IT예산의 10.7%를 정보보호에 사용했다고 알렸다. 이밖에 ▲메리츠화재 9.7% ▲신한라이프 8% ▲현대해상 7.6% 등 순이다. 정보보호 관련 보고가 자율로 유지되면서 회사별 공시에도 편차를 보였다.
하지만 이 외의 보험사의 경우, 정보보안에 어느 정도 예산을 투입하고 있는지 오리무중이다. 다양한 고민을 하고 있다고는 하나 정작 어떤 노력을 하는지에 대해선 별다른 설명이 없다. 한 대형 보험사 관계자는 “과거에는 규제를 맞추기 위해 정보보안 예산을 형식적으로 배정했다면, 최근엔 자율보안 기조로 전환되며 실질적인 보안투자 방향을 고민하는 분위기”라고 전했다.
최근 SKT 해킹 사건으로 감독당국의 규제 기조가 다시 강화되는 분위기다. 지난 4월 발생한 SKT 해킹 사고는 약 2696만건의 유심정보가 유출된 대형 보안사건이었다. 공격자는 2021년 8월부터 약 3년 7개월간 시스템에 잠복한 뒤, 평문으로 저장된 계정 정보를 활용해 HSS 서버와 고객관리망까지 접근한 것으로 드러났다.
유심정보는 간편인증, 이체 인증 등 금융서비스의 핵심 수단으로 쓰이는 만큼 인증 체계 전반에 대한 구조적 위협을 실감하게 됐다는 평가다. 이에 금융감독원은 지난 5월, 보안사고 발생 시 단순히 정보보호책임자(CISO)가 아닌 CEO에게 직접 책임을 묻겠다는 강경한 메시지를 금융권에 전달. 최고경영진 차원의 보안 거버넌스 강화를 요구하고 나섰다.
이번 사태를 계기로 보안 전략과 예산 편성에 있어 한층 명확한 기준과 책임 체계를 갖추는 방향으로 전환이 불가피해졌다는 평가가 나온다.
특히 IT예산 및 보안예산 관련 정보는 제각각이라 구체적인 가이드라인이 마련돼야 한다는 의견이 제기된다. ESG 공시 항목으로 정보보호 관련 항목이 포함되긴 했지만, 법적 의무사항은 아니어서 산정 방식이 통일돼 있지 않다. 보안 관련 예산의 절대 규모와 비중을 객관적으로 비교하기 어렵다는 지적이다.
염흥열 순천향대 정보보호학과 교수는 “과거 규제로 IT예산 대비 보안 예산을 일정 비율 이상 책정하도록 유도했으나, 현재는 기업 자율에 맡겨진 상황”이라며 “기업 규모와 시스템 복잡도에 따라 필요 예산이 다르기 때문에 일률 적용은 어려우나, 최소한 주요 지표 공시는 의무화할 필요가 있다”고 말했다.
이어 “금융사에 정보유출 사고는 생존 문제로 직결될 수 있는 만큼 사고 이후 규제를 강화할 게 아니라, 평시에도 원칙 있는 보안 투자를 지속해야 한다”고 덧붙였다.
전대현 기자
jdh@chosunbiz.com