| 한스경제=이나라 기자 | 롯데카드 해킹 사태를 계기로 촉발된 금융권의 고객 정보보호 관련 공시가 '뜨거운 감자'로 떠오르고 있다. 그동안 금융사는 정보보호 인력·투자 현황을 법적으로 공시할 의무가 없었지만, 연이은 사고로 국회와 금융당국이 제도 개선 필요성을 공식 거론하면서 업계의 긴장감이 높아지고 있다는 분석이다.
3일 금융권 등에 따르면 국내 금융사 중 올해 정보보호 관련 사항을 자율적으로 공시한 금융사는 은행·증권·결제·저축은행 등 총 15곳으로 집계됐다.
은행권에서는 신한·우리·국민은행과 토스뱅크, 제주은행이 참여했고, 증권사에서는 신한투자·한국투자·NH투자·SK·대신·토스증권이 이름을 올렸다. 결제·페이 업체로는 카카오페이와 토스페이먼츠가, 2금융권에서는 웰컴저축은행과 롯데캐피탈이 자율공시에 참여했다. 그러나 올해 자율공시에 참여한 카드사는 단 한 곳도 없는 것으로 확인됐다.
현행 '정보보호산업의 진흥에 관한 법률'은 일정 규모 이상의 기업에 대해 정보보호 인력과 투자 현황을 한국인터넷진흥원(KISA) 정보보호공시 포털에 공개하도록 규정하고 있다.
그러나 금융업은 '예외 업종'으로 분류돼 공시 대상에서 빠져 있다. 보안 인력 규모나 조직 구조가 드러날 경우 오히려 공격자의 참고 자료로 활용될 수 있다는 이유가 적용돼 왔다. 이 때문에 카드사를 포함한 금융권은 ESG 보고서나 지속가능경영보고서에 일부 수치를 자율적으로 공개하는 수준에 머물렀다.
롯데카드 해킹 이후 금융당국은 대응 수위를 높였다. 금융위원회는 사고 직후 전 금융권 최고정보보호책임자(CISO)를 긴급 소집해 CEO 책임 하에 보안 체계를 전수 점검하라고 지시했으며, 보안 수준 비교 공시 도입과 CISO 권한 강화 등 제도 개선 방향을 논의했다.
권대영 금융위 부위원장은 "CEO 책임 아래 보안 허점이 없는지 사운을 걸고 챙겨달라"고 발언하며 보안 강화 필요성을 강조했으며, 금융위 역시 보도자료를 통해 "향후 보안 시스템 구축·운영 기준을 강화하고 위반 사항에 대해 엄정 제재하겠다"고 밝혔다.
국회도 제도 개선 움직임을 보이고 있다. 국회 정무위원회와 입법조사처는 카드사와 통신사를 포함한 기업의 정보보호 투자·인력 공시 확대 방안을 검토 중인 것으로 알려졌으며, 입법조사처 분석 자료에는 이동통신사 대상 의무화 제안과 함께 금융권으로 확대 필요성이 명시됐다.
반면, 해외에서는 공시 강화가 이미 보편화되는 추세다. 미국 증권거래위원회(SEC)는 2023년부터 상장사에 사이버 보안 관련 지배구조·위험 관리 현황을 의무적으로 공개하도록 했고, 글로벌 결제사 비자(Visa)와 마스터카드(Mastercard)는 ESG 보고서에서 보안 전담 인력 규모와 연간 보안 투자액을 상세히 기재하고 있다.
유럽 주요 은행들도 사이버 보안 투자를 지속가능경영 지표에 포함시키며, 투자자와 소비자에게 보안 역량을 투명하게 공개하는 흐름이 확산되고 있다.
그러나 금융권은 정보보호 관련 공시 확대에 여전히 난색을 표하고 있다. 이미 전자금융거래법·신용정보법 등 별도 감독 규제를 받고 있는 만큼, 일반 기업과 동일한 공시 의무를 부과하는 것은 이중 규제라는 이유에서다.
실제로 한국은행·은행연합회 등은 국회 논의 과정에서 "보안 관련 세부 수치 공개는 공격자에게 유용한 정보가 될 수 있다"는 입장을 제출한 바 있습니다.
한 금융권 관계자는 "국내 금융당국과 국회 모두 정보보호 투명성 강화 필요성에는 공감하지만, 실제 제도 개편까지는 넘어야 할 과제가 많다"며 "국제적으로 금융권 공시 기준이 아직 정립되지 않았고, 수치 공개가 역으로 취약점 노출로 이어질 수 있다"고 지적했다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
