은행들이 정보보호에 중점을 두고 핵심성과지표(KPI)를 고치기 시작했다. 최근 해킹에 의한 정보 유출이 심각해진 한편 국회에서 금융사에 대한 과징금 수준 상향을 담은 개정안을 발의한 탓이다. 내년 사업 계획을 고민 중인 금융사들은 정보보호 예산도 큰 폭 증액할 전망이다.
2일 정치·금융권 등에 따르면 전날 국회 정무위원회에는 금융사의 정보보호 의무를 강화하기 위한 전자금융거래법(전금법) 일부개정법률안이 회부됐다. 지난주 개정안을 발의한 지 단 사흘 만이다. 추후 국회 본회의 등을 거쳐 이르면 내년 중 개정안이 시행될 것으로 보인다.
이번 개정안 발의는 올해 들어 금융사가 다수 해킹을 당한 건 물론 더 나아가 소비자 정보가 유출되며 문제가 심각해진 데 따른 조치다. 지난 9월 롯데카드 해킹으로 고객 297만명 정보가 유출됐고, 국내 최대 가상자산 거래소인 업비트는 지난달 445억원 규모 가상자산이 탈취당하며 일부 거래가 중단됐다. 이 밖에도 SGI서울보증, 웰컴금융 등 올해 해킹 사고는 끊이지 않고 있다.
그럼에도 금융사는 해킹으로 인한 정보 유출 시 과징금 상한이 50억원 이하로 제한되고 있다. 신용정보법상 개인 신용정보가 유출되면 금융사는 전체 매출액의 3% 이하까지 과징금이 부과되지만, 해킹 등 제3자에 의한 유출은 사실상 금융사에 ‘면죄부’가 되고 있는 것이다. 금융사의 정보보안 소홀로 대규모 정보가 유출되더라도 책임은 제한적인 셈이다.
이에 따라 정치권에선 해킹에 따른 정보 유출 시에도 금융사 전체 매출액의 3% 이하까지 과징금을 부과할 수 있도록 전금법을 개정하고 나섰다. 매출이 큰 금융사는 정보보안에 소홀했다면 내년부터 자칫 수백억원의 과징금도 맞을 수 있게 된다.
이처럼 부담이 커진 과징금 리스크를 최소화하기 위해 은행권은 내년 KPI를 고치는 작업에 들어갔다. 그간 KPI상 정보보호 관련 항목이 없거나, 독립적으로 분리돼 있지 않았는데 이를 추가 또는 확대하는 방안을 검토 중이다. 조직 내 정보보호 인식과 보안 시스템을 강화해 사전에 해킹을 막겠다는 의도다.
대표적으로 신한은행은 정보보호 관련 항목을 신설할지 검토하고 있다. 현재는 정보보호 관련 행위를 이행하지 않으면 KPI가 감점되는 요인만 있다. 예컨대 △고객 정보 조회 사유 등 월간 모니터링 미점검 △정보보호 온라인 교육 미수료 △훈련용 악성 웹메일 원본 반입 등의 경우 KPI가 감점된다.
우리은행도 내년부터 정보보호 부분을 KPI상 따로 떼어내는 방안을 들여다보고 있다. 그간 IT기획부에서 개발과 함께 정보보호 부분의 검사를 같이 담당했는데, 이를 KPI 체계상 독립시키기 위해 준비하고 있다.
이 밖에도 금융권은 내년 정보보호 관련 예산을 증액하는 방안도 고려하고 있다. 하나금융의 경우 그룹 공동 예산은 물론 관계사 개별 정보보호 예산도 올해 대비 내년에 증액한다는 계획이다.
금융권 관계자는 “정보보호 담당 부서에서 어떻게 하면 보안을 더 강화할 수 있을지 고심하고 있다”며 “은행들은 내년도 사업계획을 짜고 있는 만큼 해당 계획에 이런 부분을 넣으려 하고 있다”고 말했다.
김수지 기자sujiq@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
