◇ 카드업계, 정보보호 투자 ‘쥐꼬리’
22일 금융감독원이 국회 정무위원회 소속 김용만 더불어민주당 의원에게 낸 자료에 따르면 신한·삼성·현대·KB국민·롯데·하나·우리·비씨 등 8개 전업 카드사의 지난해 정보기술(IT) 부문 총인력 대비 정보보호 인력 비중은 11.1%였다. 2022년(12.1%) 대비 1.0%포인트 하락했다.특히 대규모 해킹 사태가 발생한 롯데카드의 하락폭이 가장 컸다. 롯데카드의 IT 대비 정보보호 인력 비중은 2022년 24.6%에서 지난해 13.3%로 11.3%포인트 급락했다. 같은 기간 현대카드는 24.7%에서 13.9%로, 삼성카드는 21.3%에서 14.2%로, 신한카드는 8.9%에서 8.2%로 낮아졌다.
인력뿐 아니라 정보보호를 위해 투입하는 예산도 쪼그라들었다. 순이익 기준 국내 상위권 4개 카드사(삼성·신한·현대·KB국민)의 지난해 IT 부문 총예산 대비 정보보호 예산은 모두 전년 대비 축소됐다.
신한카드의 지난해 정보보호 예산 비중은 8.2%로, 전년보다 1.1%포인트 하락했다. 같은 기간 KB국민카드는 9.2%에서 8.5%로, 삼성카드는 8.7%에서 8.6%로, 현대카드는 10.4%에서 10.0%로 떨어졌다. 롯데카드의 IT 대비 정보보호 예산 비중도 2021년 12%에서 2023년 8%로 낮아졌다. 이 회사의 지난해 수치는 아직 공개되지 않았다.
업계에서는 카드사들이 장기간 수익성 부진에 시달린 나머지 정보보호 투자에 소극적으로 대응한 것으로 보고 있다. 가맹점 수수료율 인하, 카드론 규제 등으로 순이익이 쪼그라들자 상대적으로 정보보호 시스템 구축을 소홀히 했다는 분석이다.
◇ 매뉴얼 짜고 모의해킹 실시
카드업계는 뒤늦게 정보보호 시스템 재점검에 속도를 내고 있다. 하나카드는 유사 해킹 시도 발생에 대비해 ‘보안사고 대응 매뉴얼’을 준비하고 있다. 신한카드는 해커 침입 방지 시스템 모니터링을 강화하고 있다. KB국민카드는 개인정보 침해사고 대응반을 운영하고 있다. 비씨카드는 화이트해커 모의해킹 훈련에 나섰다.캐피털업계도 마찬가지다. KB캐피탈은 다음달까지 개인정보 보호 강화를 위해 올해 초부터 준비 중인 통합인증 시스템을 신속하게 구축할 방침이다. 현대캐피탈은 모의해킹 훈련 횟수를 늘리는 등 보안 경각심을 높이고 있다.
일각에서는 카드사 최고정보보호책임자(CISO)의 독립성을 확보해야 한다는 의견도 나온다. 카드사 8곳 가운데 전임 CISO를 둔 곳은 신한·현대·삼성카드뿐이다. CISO를 최고재무책임자(CFO)나 최고투자책임자(CIO)가 겸임하는 곳이 대부분이다.
금융위원회는 23일 전 금융권 CISO를 소집해 제도 개선 방안 등을 논의할 방침이다. 은행, 카드, 증권사 등에서 100여 명이 참석할 것으로 관측된다. 김용만 의원은 “금융사의 보안 실패는 국민의 피해로 직결된다”며 “이번 사태를 계기로 카드사들이 정보보호 인력과 예산 투입 확대를 적극 검토해야 한다”고 말했다.
장현주 기자 blacksea@hankyung.com
