22일 금융당국과 롯데카드에 따르면 미상의 해커가 온라인 결제서버에 침입해 7월 22일부터 8월 27일 사이 총 200GB(기가 바이트)의 데이터를 유출했다. 카드 회원의 30%에 달하는 297만명의 정보가 빠져나갔으며, 이 중 28만명은 카드번호와 CVC번호 등 핵심 결제정보까지 노출됐다. 올해 들어서만 SGI서울보증, 웰컴금융그룹, 롯데카드까지 연이어 대형 해킹 사고가 발생한 상황이다.
문제는 해킹 수법이 날로 정교해지는 데 비해, 금융권의 IT 역량은 제자리걸음이라는 것이다. 올해 8월 기준 6개 업권(은행·카드·생명보험·손해보험·증권·저축은행)의 IT 인력 비중은 전체 임직원의 11%에 불과했다. 2021년 9%에서 2023년 10%, 2024년과 올해 11%로 소폭 상승했으나, 사실상 정체 상태다. 지방은행과 저축은행은 IT 전담 인력이 10명도 안 되는 경우가 많다.
금융권의 보안 투자 공시 체계도 허술하다. 한국인터넷진흥원(KISA)에 5대 은행 가운데 자율적으로 투자 내역을 공개한 곳은 국민·신한·우리은행뿐이다. 금융사가 공시 의무 대상이 아니다보니, 전체 금융권의 보안 수준을 객관적으로 비교·평가하기도 불가능하다. 롯데카드의 경우 보안 투자액은 2021년 137억원으로 정점을 찍은 뒤 2022년 88억원으로 35%가량 급감했다. 지난해에는 151억원 예산을 편성했으나 실제 집행액은 117억원에 그쳤다. 올해 예상 집행액도 128억원으로 여전히 2021년 수준에 못 미친다.
반면 한국은 금융보안원, KISA, 국정원 등 관리 주체가 흩어져 있어 사고 대응이 파편화돼 있다는 비판이 끊이지 않는다. 염흥렬 순천향대 명예교수는 “사이버 공격의 파괴력은 예측 불가능할 만큼 크다”며 “정부 차원의 보안 인프라 구축과 기업에 대한 확실한 책임 추궁이 동시에 이뤄져야 한다”고 강조했다.
제도적 대응과 동시에 개인정보 유출에 대한 징벌적 과징금 논의도 다시 수면 위로 떠올랐다. 2014년 카드 해킹 사태 때도 정부가 제재 강화 방안을 검토했지만, 기업 부담이 지나치게 크다는 이유로 무산된 바 있다. 그러나 올해 잇단 해킹 피해가 발생하면서 대통령까지 직접 “보안 사고를 반복하는 기업에는 징벌적 과징금을 포함한 강력한 대처가 필요하다”고 지시했다. 권대영 금융위원회 부위원장도 “연이어 발생하는 금융권 해킹 사고를 엄중히 인식하고 있다”며 “엄정한 책임을 지도록 징벌적 과징금 도입을 신속히 추진하겠다”고 강조했다.
다만 징벌적 과징금 제도가 도입되더라도 롯데카드에는 적용되지 않을 것으로 예측된다. 소급 적용이 불가능하기 때문이다. 결국 현행 제도상 과징금만 부과될 텐데, 외부 해킹에 의해 신용정보가 유출된 롯데카드의 경우 과징금 최대한도가 50억원으로 줄어들 수 있다. SK텔레콤의 경우 지난해 무선통신 매출을 기준으로 최대 3000억원대 중반 과징금이 가능했지만, 관련 없는 매출 제외와 피해 보상 노력 등이 반영돼 최종 제재액은 1347억원에 그쳤다.
이서영 기자2s0@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
