pDMzkliVGT8ROlsSnAPMFbuJSbPaUQli4z7zy27E
Bookmark

카드사 보안 민낯 드러나다: IT 투자 인색이 부른 '보안 구멍'

Blogger
Blogger ...분 소요

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

card-company-security-vulnerability-exposed-underinvestment-it-creates-security-hole

반복되는 보안 사고, 카드업계 'IT 투자 경시' 도마 위

최근 롯데카드에서 발생한 대규모 개인정보 유출 사고는 비단 한 기업의 문제만을 지적하고 있지 않다. 오히려 금융 소비자들이 매일같이 이용하는 카드업계 전반의 허술한 보안 실태와 IT 투자에 대한 소극적인 태도가 여실히 드러난 사건이라 할 수 있다. 이러한 사고가 반복될 때마다 사회 전체의 디지털 금융 시스템에 대한 신뢰는 깊은 균열을 맞이하게 되며, 이는 장기적으로 국가 경제의 안정성마저 위협할 수 있는 중대한 문제로 비화될 수 있다는 경고음이 울리고 있다. 이번 사태를 계기로 국회와 금융당국의 질타가 쏟아지고 있으며, 금융 서비스의 근간을 흔들 수 있는 보안 문제에 대한 근본적인 성찰과 대책 마련이 시급하다는 목소리가 그 어느 때보다 높게 울려 퍼지고 있는 실정이다. 물론, 그동안 카드사들은 시대의 흐름에 발맞춰 IT 인력 및 예산을 꾸준히 늘려왔다고 외형적으로 홍보해왔지만, 실상은 그 중 핵심적인 정보보호 분야에 할당된 비중은 극히 미미한 수준이라는 지적이 끊이지 않고 있다. 이는 단순한 전산 오류나 일시적인 서비스 지연을 넘어 고객의 신뢰를 뿌리째 흔들고 막대한 금전적 피해로 직결될 수 있는 중대한 사안임에도 불구하고, 업계의 일련의 투자 경향은 단기적인 매출 증대나 시장 점유율 확보와 같은 눈앞의 성과에만 집중하려는 근시안적인 시각을 보여왔던 것은 아닐까 하는 깊은 의구심마저 들게 한다. 금융 안정성과 소비자 보호는 아무리 강조해도 지나치지 않은 핵심 가치임에도, 업계는 어쩌면 일시적인 비용 절감과 표면적인 이익만을 좇아 기업이 마땅히 짊어져야 할 가장 기본적인 사회적 의무를 소홀히 한 것은 아닌지 뼈저리게 되돌아볼 필요가 있다. 급변하는 디지털 환경 속에서 사이버 위협은 나날이 고도화되고 지능적으로 진화하고 있기에, 이번 기회에 카드업계는 그간 방치되었던 '보안 구멍'을 철저히 메우고, 지속 가능한 성장을 위한 진정한 의미의 IT 투자와 정보보호 강화에 전사적인 역량을 집중해야 할 것이다. 이 문제가 단순히 특정 카드사만의 숙제가 아니라, 국내 모든 카드사가 함께 풀어야 할 공통의 과제임을 깊이 인지하고 공동의 노력을 기울여야 한다. 그렇지 않으면 결국 더 큰 파고가 금융 시장을 덮쳐 회복 불가능한 손실을 야기할 수도 있다는 냉엄한 경고에 지금이라도 귀 기울여야 할 때다. 디지털 금융 시대의 안전한 항해를 위한 강력한 보안은 선택이 아닌 필수적인 생존 조건이자 고객과의 약속임을 잊지 말아야 한다.

정보보호 인력과 예산, '겉과 속'이 다른 실태

카드업계의 정보보호 투자는 외형적인 홍보와 달리 내실이 부족한 것으로 드러나고 있다. 지난 6월 기준 국내 8개 전업 카드사(우리·KB국민·현대·롯데·비씨·신한·삼성·하나)의 전체 정보통신(IT) 인력 대비 정보보호 전담 인력 비율은 평균 11.28%에 불과했다. 특히 최근 해킹 사고로 물의를 빚은 롯데카드의 정보보호 인력 비율이 삼성카드(15.6%)에 이어 15.5%로 두 번째로 높았다는 점은 이 문제의 복합성을 더욱 잘 보여주는 씁쓸한 대목이라 할 수 있다. 언뜻 수치만 놓고 보면 보안에 소홀하지 않은 것처럼 보이지만, 전문가들의 시각은 사뭇 다르다. 염흥열 순천향대 정보보호학과 교수(한국개인정보보호책임자협의회 회장)는 정보보호 인력의 절대적 규모보다는 이들을 얼마나 적절히 배치하고 효율적으로 운영했는지가 훨씬 중요하다고 일침을 가했다. 즉, 단순히 숫자를 늘리는 인력 확충을 넘어 각 사의 고유한 보안 취약점을 정확히 파악하고 이를 선제적으로 보완할 수 있는 전문 인력 배치가 관건이라는 것이다. 조직 내 정보보호 시스템의 유기적인 연동과 신속한 대응 체계 구축을 위해서는 이들의 전문성과 효율적인 운영이 필수적이라는 이야기다. 더욱 심각한 문제는 정보보호 예산 배정이다. 올해 8개 카드사의 연간 총 예산 대비 정보보호 예산 비율은 롯데카드가 0.3%로 가장 낮았고, 신한(0.4%), 삼성(0.6%), 비씨(0.8%), 현대(1.1%) 등 대부분의 카드사가 1% 안팎에 머물렀다. 염 교수는 외국계 빅테크 기업이나 선진 금융기관들의 정보보호 예산 배정 비율이 최소 2~3%인 점을 언급하며, 국내 카드사들의 1% 안팎은 절대적으로 부족한 수치라고 강하게 비판했다. 예산의 부족은 곧 최신 보안 기술 도입 지연, 전문 인력 양성 및 유치 어려움, 그리고 전반적인 보안 인프라 확충의 한계로 이어질 수밖에 없으며, 이는 결국 금융소비자의 소중한 정보와 자산을 위협하는 거대한 ‘보안 구멍’을 방치하는 결과를 낳는다. 겉으로는 IT 투자를 늘린다 해도 그 내막을 들여다보면 핵심 보안 분야는 여전히 소외되고 있다는 점은 금융당국과 업계가 심각하게 고민해야 할 지점이다.

반복되는 전산장애와 침해사고, 금융 시스템 안정성 ‘흔들’

카드업계의 IT 투자 인색은 잦은 전산장애와 심각한 침해사고라는 불편한 진실로 고스란히 이어지고 있다. 지난 5년간(2021년부터 2025년 8월까지) 국내 8개 전업 카드사에서 금융감독원에 보고된 전산장애 사고는 총 144건에 달하며, 이 중 우리카드(39건)와 하나카드(34건)가 가장 많은 비중을 차지했다. 전산장애는 단순히 서비스 지연을 넘어 고객 불편을 야기하고 카드사에 대한 신뢰도 하락을 초래하며, 경우에 따라서는 중요한 거래의 중단이나 금전적 피해로 이어질 수도 있는 심각한 문제다. 현대 사회에서 금융 서비스의 끊김 없는 안정성은 무엇보다 중요하기 때문이다. 더욱 우려스러운 것은 갈수록 지능화되는 사이버 공격으로 인한 침해사고의 발생이다. 같은 기간 총 4건의 침해사고가 발생했는데, 하나카드에서 두 차례(2023년 7월 분산서비스거부(DDoS) 공격, 2025년 6월 서비스 거부 공격), 신한카드에서 한 차례(2021년 11월 시스템 위변조 사고로 회원 73명에게 1억 7,739만원의 금전 피해 발생), 그리고 롯데카드에서 최근 외부 해킹으로 인한 악성코드 감염 사고가 발생했다. 이러한 침해사고들은 단순한 기술적 결함을 넘어 고객의 소중한 개인정보와 자산을 직접적으로 위협하는 심각한 보안 문제임을 방증한다. 금융 데이터가 곧 자산인 시대에 이러한 침해는 돌이킬 수 없는 피해를 초래할 수 있다. 2024년 기준 8개 전업카드사 회원 수는 2023년 대비 1.9% 증가했음에도 불구하고, 정보기술(IT) 예산 증가는 고작 0.6%에 그쳤다는 점은 카드사들이 서비스 확장 속도에 맞춰 보안 투자를 병행하지 못하고 있음을 명확히 시사한다. 오히려 하나카드(-10.8%), 우리카드(-9.1%), 삼성카드(-6.5%) 등은 2023년 대비 IT 예산을 줄이기도 했다. 심지어 회원 수 업계 1위인 비씨카드는 IT 예산이 775억원에 불과해 8개 카드사 중 가장 적고, 회원 1인당 IT 예산 집행액은 4,454원으로 업계 평균(1만775원)의 절반에도 미치지 못하는 실정이다. 이러한 전반적인 IT 투자 축소 및 인색한 정보보호 예산 배정 경향은 전자금융 서비스 안정성에 대한 우려를 증폭시키고, 금융 소비자들이 안심하고 편리하게 서비스를 이용할 수 없는 불안정한 환경을 만들고 있다.

'단기 실적'에 가려진 금융 안보, 국회 질타와 중징계 예고

카드업계의 미흡한 보안 실태에 대한 국회의 질타는 점점 더 거세지고 있으며, 정부 역시 강력한 경고 메시지를 보내고 있다. 특히 최근 롯데카드 해킹 사태를 두고 국회 정무위원회 소속 김상훈 의원은 롯데카드가 국내 8개 카드사 중 정보보호 예산을 가장 많이 줄인 점을 꼬집으며, 사모펀드인 MBK파트너스의 매각 방침이 IT 투자 축소에 영향을 미친 것이 아니냐는 강한 의혹을 제기하며 질책했다. 이는 단순히 기업의 경영 판단을 넘어, 대주주의 특성이 금융 보안이라는 공공의 영역에 미칠 수 있는 영향력에 대한 중요한 화두를 던진 셈이다. 또한 윤한홍 의원은 정부 역시 해킹 사고에 대한 관리·감독 책임에서 자유로울 수 없으며, 정부 대책의 미흡한 부분을 면밀히 살펴봐야 한다고 강조했다. 이는 비단 개별 기업의 문제를 넘어, 금융당국의 거시적인 관리·감독 소홀 문제까지 그 책임의 범위가 확장될 수 있음을 시사한다. 이와 함께 국회 과학기술정보방송통신위원회는 KT·SKT·LG유플러스 등 이동통신 3사와 롯데카드의 잇따른 해킹 사태에 대한 청문회를 열고 사고 경위와 피해자 보상, 재발 방지책 등을 집중 질의할 예정이다. 당초 대주주인 MBK파트너스의 김병주 회장이 증인으로 채택되었으나 불출석 사유서를 제출함에 따라 윤종하 부회장이 출석하여 사태의 책임을 묻는 강한 어조의 질책을 감당해야 했다. 정부 또한 보안 사고가 발생한 기업에 대한 중징계 방침을 이미 예고하며 강력한 경고 메시지를 보냈다. 이는 카드사들이 단기적인 실적에만 매몰되어 정보보호 투자를 등한시하는 행태에 대한 정부와 국회의 단호한 입장으로 해석된다. 결국, 금융 시스템의 안정성을 확보하고 금융 소비자의 신뢰를 지키기 위해서는 카드업계의 자발적인 노력과 더불어 정부와 국회의 강력하고 지속적인 관리·감독이 필수적이라는 메시지를 던지고 있으며, 이는 금융 안보를 지키기 위한 사회적 합의의 필요성을 역설하는 것이다.

미래를 위한 투자: 금융소비자 보호와 지속 가능한 성장의 길

지금까지 살펴본 카드업계의 IT 보안 실태는 단순한 기술적 문제를 넘어, 금융 시스템의 근간을 위협하고 궁극적으로는 금융소비자에게 막대한 피해를 줄 수 있는 심각한 사회적 문제임을 분명히 알 수 있다. 잦은 전산장애와 고도화된 침해사고는 금융 서비스의 안정성을 저해하고, 정보보호 인력의 비효율적 운영과 예산의 부족은 미래의 잠재적 위험을 키우는 결과를 초래하여 업계 전체의 신뢰 기반을 약화시킨다. 이헌승 의원의 지적처럼, 카드사들이 단기 실적에만 치중하여 근시안적인 경영을 할 것이 아니라 정보기술 투자를 확대하여 금융소비자 보호와 서비스 안정성을 우선적으로 강화해야 하는 시점이다. 어쩌면 현재의 소극적인 IT 투자는 가까운 미래에 더 큰 사회적 혼란과 막대한 금전적 손실, 그리고 회복하기 어려운 기업 이미지 하락이라는 형태로 되돌아올 수 있음을 간과해서는 안 된다. 금융 서비스의 디지털 전환이 가속화되고 생활의 모든 영역에 스며드는 현대 사회에서, IT 보안은 더 이상 선택 사항이 아닌 필수적인 생존 조건이자 기업의 사회적 책임 중 가장 중요한 부분으로 자리매김하고 있다. 해외 선진 금융기관들의 정보보호 예산 배정 비율 및 투자 규모를 참고하여, 국내 카드사들도 과감하고 선제적인 투자를 통해 국제적인 수준의 선진적인 보안 시스템과 인프라를 구축해야 할 것이다. 단순히 규제 준수를 위한 형식적인 투자를 넘어, 고객의 소중한 신뢰를 얻고 지속 가능한 성장을 위한 핵심 동력으로 IT 보안을 인식하는 패러다임 전환이 절실하다. 금융당국은 물론, 카드업계 스스로도 이번 일련의 사태를 뼈아픈 교훈으로 삼아 근본적인 변화를 모색하고 실천해야 한다. 진정한 의미의 금융소비자 보호는 견고한 IT 보안 시스템 위에서만 가능하다는 점을 명심하고, 고객의 안전과 신뢰를 최우선 가치로 삼는 경영 철학을 확립해야 할 때다. 이러한 노력이 결실을 맺을 때 비로소 카드업계는 디지털 금융 시대의 진정한 리더로 거듭날 수 있을 것이다.

노잇. - KNOW IT. 세 줄 요약

최근 롯데카드 해킹 사태를 비롯해 카드업계 전반의 IT 보안 취약성이 드러나 금융 소비자들의 우려가 커지고 있다. 정보보호 인력의 비효율적 운영과 예산 부족이 잦은 전산장애 및 침해사고의 원인으로 지목되며, 국회와 정부는 단기 실적 위주의 경영을 질타하고 중징계를 예고했다. 금융소비자 보호를 위해 카드사들의 IT 투자 확대와 효율적인 정보보호 시스템 구축이 시급하며, 이는 업계의 지속 가능한 성장을 위한 필수적인 요소이다.

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

Related Posts