10대 저축은행 중 6곳이 올해 정보보호 예산을 줄인 것으로 나타났다. 최근 금융권에서만 SGI서울보증, 웰컴금융그룹에 이어 롯데카드까지 해킹 사고가 속출하고 있는데, 정보보호 예산을 줄이는 것은 해킹 사고에 대한 경각심이 부족한 것 아니냐는 지적이 나온다.
1일 국회 정무위원회 김상훈 국민의힘 의원실이 금융감독원에서 받은 저축은행 정보보호 예산 연간 편성액 현황에 따르면 자산 규모 상위 10곳 중 6곳이 전년 대비 정보보호 예산을 감축한 것으로 나타났다. 정보보호 예산 연간 편성액이란 회사가 총 1년 예산 중 정보보호에 쓰겠다고 분배한 규모로, 해당 회사의 정보보호에 관한 관심을 보여준다.
올해 자산 규모를 늘리며 1위까지 올랐던 OK저축은행은 정보보호 예산을 지난해 81억원에서 올해 57억원으로 가장 크게 줄였다. 다만 OK저축은행은 수년째 업계에서 가장 높은 수준의 정보보호 예산액을 기록했다. 해킹사고가 발생한 웰컴금융그룹의 웰컴저축은행도 지난해 23억원에서 올해 18억원으로 줄였다. 이 외에도 ▲DB저축은행 ▲신한저축은행 ▲하나저축은행 ▲페퍼저축은행이 전년보다 정보보호 예산을 감축했다. 10개 저축은행은 모두 전년 대비 총예산이 늘었으나 정보보호 예산은 그대로거나 줄어든 곳이 대부분이었다.
정보보호 인력 비율이 줄어든 곳도 있었다. 정보보호 인력이란 정보기술(IT) 담당 인력 대비 정보보호를 전담하는 인력의 비율인데, 10개사 중 ▲OK저축은행(9.4%→9%) ▲웰컴저축은행(6.7%→6.4%) ▲신한저축은행(11.8%→11.1%)의 경우 전년 대비 정보보호 인력의 비율이 줄어들었다. 다만 금융보안원이 제시한 자율기준(IT 인력 중 5%)에는 모두 부합했다. 웰컴저축은행은 전년 대비 예산도, 정보보호 인력 비율도 줄어든 셈이다.
최근 SGI서울보증, 웰컴금융그룹, 롯데카드 등 2금융권에서 해킹 사고가 연쇄적으로 발생하면서 2금융권의 보안에 비상등이 켜졌다. 웰컴금융그룹 해킹 사고의 경우 계열사인 대부업체 웰릭스에프앤아이대부가 해커 조직으로부터 랜섬웨어 공격을 당하면서 발생했는데, 대부업체는 전자금융거래법 적용 대상이 아니라 구체적인 보안 체계 규제가 없다는 점도 지적됐다.
금융 당국은 잇따라 발생한 해킹 사고가 2금융권에 집중된 점에 주목하고 있다. 또한 개인정보 유출 사고가 반복되는 기업에 대한 징벌적 과징금을 검토하고 2금융권 규제 강화를 위한 제도 보완책을 검토하고 있다.
금융권 자율 보안 토대를 마련하기 위한 '디지털 금융 보안법'도 올해 안에 법제화될 전망이다. 해당 법안은 해킹 등으로 정보가 유출됐을 때 금융사에 강력한 책임을 부과한다. 금융사가 스스로 보안 체계를 구축하도록 자율성을 부여하되, 사고가 발생하면 강력하게 처벌하겠다는 취지다. 이재명 대통령도 금융사 해킹 사고에 강력한 조치를 당부한 만큼 디지털 금융 보안법 입법에도 속도가 붙을 예정이다.
김승주 고려대 정보보호대학원 교수는 "이번 기회에 정부는 외국의 자율 보안 사례를 참고해 최소한의 규제선을 정하고 사후 사고 발생 시 기업에 책임을 물을 수 있는 구조를 만들어야 한다"며 "기업 또한 피해에 책임을 질 수 없다면 금융 서비스를 아예 하지 않겠다는 책임감을 가져야 한다"고 조언했다.