은행·보험은 '해킹 안전지대'?…일부 금융사, 정보보호 투자 '소홀'

4대 은행, 작년 59억↓…교보생명은 3년 연속 투자 감소

정보보호 '공시 의무' 아냐…금융 소비자 보호 소홀 지적

참고 이미지 [사진=챗GPT]

롯데카드 해킹 사태로 정보보호에 대한 경각심이 높아진 가운데 다른 금융업권 역시 ‘해킹 안전지대’가 아니라는 지적이 나온다. 그럼에도 일부 은행이나 보험사는 정보보호에 대한 투자를 줄이며 다소 안일한 대응을 해온 것으로 나타났다.
 
25일 금융권에 따르면 4대 은행(KB국민·신한·하나·우리)이 지난해 정보보호를 위해 쓴 투자금은 총 1755억원으로, 전년(1814억원)보다 약 3.36% 줄어든 것으로 집계됐다. 금액으로는 59억원이 감소했다.
 
특히 KB국민은행은 해당 기간 541억원에서 421억원으로 100억원 넘게 정보보호 투자금을 줄였다. 전체 IT 예산에서 차지하는 비중 역시 8.9%에서 7.4%로 낮아졌다. 이와 함께 IT 부문에서 정보보호 업무를 담당하는 인력 비중도 5.16%에서 5.10%로 줄어든 것으로 나타났다.
 
지난달 14일 롯데카드에 대한 해킹 공격으로 297만명의 개인정보가 유출된 가운데 다른 금융업권도 경각심을 높일 필요성이 제기되는 이유다. 실제 올해 들어 지난 2월 iM뱅크, 5월 SC제일은행 등 잇따라 해킹을 당한 바 있다. 이에 카드뿐 아니라 은행, 보험사 등도 해킹 안전지대가 아니라는 지적이다.

 
4대 금융지주(KB·신한·하나·우리)에선 하나금융만 전 계열사를 아우르는 정보보호 투자금을 공시하고 있는데, 2023년 836억원에서 지난해 807억원으로 줄었다. 하나은행은 같은 기간 434억원에서 465억원으로 예산을 소폭 늘렸지만, 다른 계열사가 투자금을 줄이며 영향을 미쳤다.

일부 보험사도 정보보호 투자금을 줄인 것으로 나타났다. 특히 교보생명은 지난 3년간 정보보호 투자 비용을 계속 축소했다. 2022년 110억원에 달했던 투자금은 2023년 108억원으로 줄더니, 지난해에는 99억원으로 100억원대 아래로 떨어졌다. 다만 2022년, 2023년엔 정보보호 관련 인증 등으로 추가적인 일회성 비용이 발생했다.

아직 정보보호 관련 얼마를 투자했는지, 관련 인력은 몇 명인지 등은 의무 공시 사항이 아니다. 이에 결국 구조적으로 다른 부분보다 우선순위에서 밀릴 수밖에 없다. 롯데카드 해킹 사태가 발생한 것도 이러한 점과 무관치 않다는 해석이다.

실제 대부분 금융사는 현재 정보보호 관련 내용을 공시하지 않는 것으로 나타났다. 한번 금융회사가 해킹을 당하면 개인정보 유출로 부정 사용이나 보이스피싱 등 피해를 걷잡을 수 없는 만큼 이는 금융 소비자 보호 부문에 대한 소홀과도 연결된다.

금융권 관계자는 “정보보호 관련해선 현재 자율 공시로 하고 있다”며 “최근 해킹 사태가 연일 발생하며 금융사 사이에서도 민감하게 보고 있는 사안”이라고 말했다.