카드사, 잇단 악재에 ‘신뢰 위기’…내부통제·보안 시스템 전면 재정비

[그래픽=최소라 기자·제미나이]

[직썰 / 최소라 기자] 카드업계가 신뢰 위기에 직면했다. 지난해 롯데카드에 이어 신한카드에서도 개인정보 유출 사고가 발생하면서 금융소비자 불안이 확산되고 있다. 업황 둔화 국면에서 보안 사고와 내부 일탈까지 겹치자, 카드사들은 내부통제와 보안을 생존을 좌우할 핵심 과제로 보고 시스템 전반의 재정비에 나섰다.

7일 카드업계에 따르면 보안 투자와 내부통제 강화는 더 이상 선택의 문제가 아니다. 개인정보 유출 사고는 고객 이탈로 직결될 뿐 아니라 금융당국의 제재와 과징금 부담으로 이어진다. 사고 수습 비용과 보안 체계 구축 비용 역시 실적에 부담으로 작용한다.

수익성은 이미 둔화 흐름에 들어섰다. 지난해 3분기까지 신한·삼성·현대·KB국민·롯데·우리·하나 등 7개 전업 카드사의 합산 당기순이익은 1조7722억원으로, 전년 동기 대비 17% 감소했다.

◇해킹·내부 일탈 잇따라…통제 허점 노출

사고 유형은 달랐지만 공통점은 ‘통제 실패’였다. 지난해 8월 롯데카드는 외부 해킹 공격으로 약 297만명의 고객 개인정보가 유출되는 사고를 겪었다. 이 여파로 조좌진 대표가 사퇴했다.

신한카드는 지난해 11월 내부 직원이 가맹점 대표자 개인정보 약 19만건을 외부로 유출한 사실이 드러났다. 해당 정보는 신규 가맹점 영업에 활용됐다. 업황 부진 속 과도한 영업 경쟁이 통제 실패로 이어진 셈이다.

해당 사건은 경찰의 정식 수사로 전환됐으며, 신한카드는 수사에 적극 협조하고 있다.

◇내부통제 기준 전면 손질

잇단 사고 이후 카드사들은 내부통제와 보안 체계 재정비에 속도를 내고 있다. 롯데카드는 해킹 사태를 계기로 향후 5년간 정보보호 예산을 총 1100억원으로 확대하고, 연간 IT 예산 대비 비중을 15% 수준까지 끌어올릴 계획이다. 24시간 통합 보안관제 체계를 구축하고, 공격 시나리오를 점검하는 전담 레드팀도 신설한다.

신한카드는 정보 접근 권한을 업무상 필수 범위로 최소화하고, 추가 접근 시 사유 입력을 의무화했다. 정보 조회 이력에 대한 이상 징후 탐지 모니터링도 강화했다. 고객정보 무단 조회나 사진 촬영 등 위반 행위에는 무관용 원칙을 적용해 엄정 대응한다.

업계 차원의 대응도 이어지고 있다. 여신금융협회는 지난달 31일 표준내부통제기준과 표준금융소비자보호기준 개정 시행을 공시했다. 정완규 회장은 신년사를 통해 “소비자 신뢰 회복을 최우선 과제로 삼아 건전성과 리스크 관리를 강화하겠다”고 밝혔다.

◇AI 기반 보안 고도화 가속

인공지능(AI)을 활용한 보안 고도화도 빠르게 진행 중이다. 카드사들은 AI 기반 이상거래 탐지 시스템(FDS)을 통해 도난·분실뿐 아니라 피싱 등 신종 금융사기까지 탐지 범위를 확대하고 있다.

KB국민카드는 재학습 AI 기반 FDS를 도입해 과거 거래 이력과 외부 데이터를 종합 분석하고 있으며, BC카드는 가맹점 부실 징후를 사전에 감지하는 모니터링 시스템을 운영하고 있다.

다만 보안 시스템에 대한 외부 홍보에는 신중한 모습이다. 업계 관계자는 “카드사는 해킹의 주요 표적이 될 수 있어 보안 체계를 과도하게 공개하는 데는 한계가 있다”고 말했다.

◇‘책무구조도’ 도입 앞두고 긴장

올해 카드업계의 또 다른 과제는 내부통제 책임을 명확히 하는 ‘책무구조도’ 도입이다. 책무구조도는 대표이사와 임원별로 담당 업무와 내부통제 책임 범위를 명확히 규정하는 제도다. 금융지주와 은행이 지난해 1월 1차 도입했으며, 카드사는 상반기 시범 운영을 거쳐 7월 공식 도입할 예정이다. 내부통제 미흡 시 경영진의 책임과 제재 리스크가 커지는 만큼 부담도 적지 않다.

카드업계 한 관계자는 “금융당국 지침에 따라 기한 내 도입을 준비하고 있다”며 “형식적 도입이 아니라 실제 작동하는 체계를 구축하는 것이 관건”이라고 말했다.

금융당국도 제도 정비에 나섰다. 금융위원회와 금융감독원은 디지털금융안전법 논의를 통해 금융권 전반의 보안 투자와 리스크 관리 강화를 추진할 계획이다. 이에 따라 금융그룹 차원의 대응도 확대되고 있다. 우리금융지주는 접근제어와 감사추적, 네트워크 보안 체계 재구축 프로젝트에 착수했으며, KB금융은 금융권 최초로 사이버보안센터를 출범시켰다.

카드업계 다른 관계자는 “올해는 보안 수준과 대응 역량이 실적과 소비자 신뢰를 가르는 핵심 지표가 될 것”이라고 말했다.