은행·증권 보안 투자 70% 늘릴 때… 카드·손보는 20% 찔끔

업권별 보안 수준 차이 뚜렷
은행 20곳 5년새 예산 75% 확대
카드·손보사 예산은 들쭉날쭉
보이스피싱·해킹사고로 이어져
정보보호 예산 지속 확대 필요성

은행과 증권사가 5년 반 동안 정보보호 예산을 70% 이상 늘릴 때 카드사의 증가율은 27%에 그쳤다. 손해보험사는 19.5%로 정보보호 예산 확대에 가장 인색했다.

정보보호 예산은 대규모 해킹사태가 빈번하게 발생하고 지능화·고도화되는 사이버위협에 대응하기 위해 보안체계를 구축하는 데 필수적이다.

특히 금융권은 개인 신용정보 등 중요한 금융데이터를 보유하고 있고 한 번의 해킹사고가 금융소비자 보호에 미치는 영향이 절대적이라 정보보호 예산을 지속적으로 확대하는 것이 중요하다고 전문가들은 진단한다.

여기에 금융당국이 정보보호 예산을 정보기술(IT) 예산의 7%로 의무화하던 전자금융감독규정을 지난 2월 삭제하고, 업계 자율로 돌리면서 일부 금융사의 경우 정보보호 예산이 뒷걸음질할 우려가 제기된다. 이에 정보보호 예산을 비용이 아닌 '투자'라고 금융사 대표들의 인식을 전환하고 '금융소비자 보호' 관점에서 정보보호 예산을 지속적으로 확대하는 것이 필요하다는 지적이 나온다.

■카드·보험사 고무줄 편성

19일 국민의힘 이양수 의원실이 금융감독원으로부터 2020년부터 2025년 상반기까지 금융업권별 정보보호 예산, 집행률 등을 제출받아 전수조사한 결과에 따르면 카드사 8곳의 정보보호 예산은 2020년 1046억7900만원에서 올해 상반기 1327억400만원으로 26.8% 늘어나는 데 그쳤다. 같은 기간 은행 20곳의 정보보호 예산이 3349억2500만원에서 5853억1000만원으로 74.8% 늘어난 것과 비교하면 카드사들이 정보보호 예산 확대에 소홀했다는 평가다. 손해보험사들은 같은 기간 19.5% 늘어나는 데 그치면서 금융업권별 정보보호 예산 증가율 최하위권을 기록했다. 보험업권 내에서도 생명보험사들의 정보보호 예산이 51% 확대된 것과 대조적인 모습이다.

카드사와 손해보험사의 문제는 정보보호 예산이 고무줄식으로 편성됐다는 점이다. 정보보호 부문이 후순위로 밀리면서 차세대 전산시스템 업그레이드 등 필요시 예산을 확대했다가 다시 축소한 것으로 해석된다.

최근 해킹사고가 일어난 롯데카드의 경우 2020년 정보보호 예산이 112억7100만원에서 △2021년 99억5800만원 △2022년 114억8300만원 △2023년 124억1900만원 △2024년 151억4600만원 △올해 상반기 128억1000만원으로 들쭉날쭉했다.

이 같은 경향은 현대카드, 우리카드를 제외한 전 카드사에서 나타난 현상이다. 삼성카드는 최근 5년 반 동안 정보보호 예산이 2.11% 줄었다. 삼성카드 측은 삼성카드의 정보보호 예산 규모는 상대적으로 높은 수준이라는 설명이다. 복수의 카드업계 관계자는 "카드사는 금융계의 IT회사로 정보보호 예산에 소홀한 건 아니다"라면서도 "카드사가 은행의 하나의 사업부문으로 출발해 규모가 작고, 2020년 이후 고금리 상황에서 수익률이 악화되면서 정보보호 예산에 변동 폭이 있다"고 말했다.

삼성화재, DB손보, 메리츠화재, 현대해상, KB손해보험 등 대형손보사 5곳을 포함한 손해보험사 10곳도 해마다 정보보호 예산이 고무줄로 편성된 것은 마찬가지였다. 현대해상은 올해 상반기 정보보호 예산을 지난해보다 대폭 줄이면서 5년 반 동안 정보보호 예산 증가율이 3.18%에 불과했고, 메리츠화재도 4.91%에 그쳤다.

■은행 수준의 예산 확대 필요

보안 전문가는 대규모의 해킹 공격이 빈번해지는 등 사이버보안 위협에 대응하기 위해서는 카드, 보험사 등 제2금융권도 은행권만큼 정보보호 예산을 확대하는 것이 중요하다고 조언한다.

비대면거래가 일상화된 은행과 증권은 실물가치와 직접 연계된 대규모 고객정보와 자산을 관리하고 있어 해킹 공격에 한번이라도 뚫릴 경우 고객의 금전적 피해도 발생할 수 있어 정보보호 예산 투자 비중이 높은 편이라는 설명이다.

카드사와 손보사도 고객의 결제내역, 장기 보험계약에 따라 보유하는 고객 데이터 볼륨이 확대되고 있는 만큼 정보보호 예산 확대가 필수적이라는 의미다. 황석진 동국대 국제정보보호대학원 교수는 "5년 동안 카드사와 손보사가 20% 안팎의 정보보호 예산을 확대한 것은 상당히 적다고 봐야 한다"면서 "정보보호 예산을 투자가 아니라 비재무적 활동이라고 인식하는 경우가 많서 예산이 늘지 못하고 있다"고 지적했다.

gogosing@fnnews.com 박소현 기자