이 기사는 2025년 10월 30일 07:58 thebell 에 표출된 기사입니다.

금융권에 '보안 리스크'가 불거졌다. 특히 최근 해킹 사태가 잇따르면서 보안 위협에 대한 경각심이 한층 높아졌다. 금융사의 보안 관리 부실이 고객의 중요 개인정보 대규모 유출로 이어지자 정보보호 체계 전반에 대한 근본적인 점검 필요성이 제기되고 있다.

금융당국은 일련의 해킹 사고를 심각한 위협으로 규정하고 금융사에 보안 역량 강화를 주문했다. CEO 책임 아래 보안상 허점이 없는지 사운을 걸고 점검할 것을 당부하는 한편 부주의로 침해 사고가 발생할 경우 엄정히 제재하겠다는 방침을 분명히 했다.

금융권은 대응 체계 점검 및 보안 역량 강화로 분주하다. 상시 모의해킹 전담 조직을 통해 취약점을 수시 진단하고 태스크포스팀(TFT)을 꾸려 그룹사의 정보보호 체계를 자체 점검하는 등 예방 중심의 통제 체계를 확립해 가는 데 공을 들이고 있다.

◇끊이지 않는 보안 사고에 칼 빼든 정부당국

금융권은 최근 보안 사고로 홍역을 치렀다. 피해 규모가 가장 컸던 롯데카드는 200기가바이트(GB)에 달하는 데이터가 외부로 반출됐다. 이 사고로 전체 회원 3분의 1에 해당하는 297만 명의 개인정보가 유출됐으며 이 중 28만 명은 핵심 결제 정보까지 노출됐다.

이런 대규모 해킹 사태 외에도 올해에는 중소 규모의 침해 사고가 끊이지 않고 있다. 금융감독원이 강민국 국민의힘 의원실에 제출한 자료에 따르면 올해 9월까지 확인된 금융권 해킹 사고는 총 8건이다. iM뱅크, KB라이프생명, 노무라금융투자, 한국스탠다드차타드은행, 하나카드, 서울보증보험, AXA손해보험 등에서 사고가 발생했다.

해킹 사고가 잇따르자 금융당국은 금융사들에 경고와 함께 전사적 금융보안 역량 강화를 주문했다. 지난달 23일에는 금융사 정보보호최고책임자(CISO)들을 소집해 긴급 침해사고 대응회의를 열었다. 이 자리에서 권대영 금융위원회 부위원장은 "CEO 책임하에 사운을 걸고 즉시 전면적으로 챙겨달라"고 강하게 당부했다.


금융보안원과 함께 전 금융권 대상 실전 수준의 '블라인드 모의해킹'을 통해 침입 탐지·대응 체계가 실질적으로 작동하는지도 확인하고 있다. 점검 시점과 공격 규모가 예측 불가능한 데다 적절히 대응하지 못하면 부실 낙인이 찍힐 수 있어 금융권에는 긴장감이 감돌고 있다.

정부는 일련의 해킹 사고를 심각한 위기 상황으로 인식하고 범부처 합동 종합대책을 즉각 실행했다. 그 일환으로 보안의무 위반 기업에 대해 이행강제금과 징벌적 과징금을 처분하기로 하는 등 제재를 강화했다. CEO의 보안 책임 원칙은 법령상 명문화돼 그 책임이 무거워졌다.

◇금융권, 심각한 위협으로 인식…대응 체계 점검·강화에 총력

보안 리스크가 부각되면서 이에 대응하는 금융권의 움직임도 분주해졌다. CEO들은 해킹사고가 목전에 닥친 심각한 위협이라는 사실로 인식하고 전산시스템과 정보보호 체계에 보안상 허점이 없는지 내부 점검 및 관리 체계 마련을 서두르고 있다.

KB금융 내부 경영진은 정보보호를 KB의 존립과 신뢰를 위한 핵심 기반으로 상정하고 관련 인력을 국내 최고 수준으로 배치했다. 보안 위협을 체계화된 위험관리 체계를 통한 리스크 관리 차원으로 다루기 위해 보안위험 관리 체계도 수립 중이다.

KB국민은행만의 보안위험 관리 체계인 KB RMF(Risk Management Framework)는 위협 시나리오 기반으로 각종 보안 데이터를 자동·실시간 연동하고 대형언어모델(LLM)로 분석해 보안 위협에 전략적 대응을 가능하게 한다.

신한은행은 정보보호를 경영의 기본 가치이자 고객가치를 실현하는 중요한 수단으로 보고 있다. 이를 바탕으로 신한은행의 임직원들은 '스캔들 제로(Zero)'를 달성하기 위해 공을 들이고 있다.

특히 선제 대응과 자율준수 강화를 양축 삼아 제도 변화보다 한발 앞선 내부통제 체계를 운영하고 있다. 정보보호 관리 체계 인증제도를 단순 인증 수준에 그치지 않고 실질적인 상시 점검 체계로 전환하며 사고 발생 전 예방 중심의 통제 체계를 확립하고 있다.

우리은행은 정보보호 전문인력 양성을 위한 Tech인사부를 신설하는 등 디지털 흐름에 맞게 대비하고 있다. 은행 중심으로 IT보안 전문기관과 TFT를 구성해 전자금융 및 개인(신용)정보를 보유·처리하고 있는 7개 그룹사를 대상으로 연말까지 정보보호 체계를 점검하는 중이다.

금융권 관계자는 "최근 발생한 개인정보 유출 사건들은 보안의 중요성을 다시금 일깨워줬다"며 "'예방은 대응보다 중요하다'는 원칙 아래 다양한 위협 탐지 시스템을 활용해 조기 차단 및 대응 능력을 향상하는 등 사고 예방에 만전을 기하고 있다"고 말했다.