“해킹도 적당히 당해야지”...팔 걷은 정부, 정황만으로 기업 직접 조사

정부가 잇따른 해킹 사태를 계기로 통신·금융 보안 체계를 원점에서 다시 점검하기로 했다. 앞으로는 피해 사실을 신고해야 조사가 이뤄지던 기존 방식에서 벗어나, 단순한 해킹 정황만 포착돼도 정부가 직접 조사에 착수한다. 실제로 롯데카드처럼 사모펀드에 인수된 뒤 배당을 늘리기 위해 보안 예산을 줄이는 사례를 막기 위해 금융당국이 전방위적 대책을 추진한다.

과학기술정보통신부와 금융위원회는 19일 정부서울청사에서 합동 브리핑을 열고 국가안보실을 중심으로 국가정보원, 개인정보보호위원회 등 관계 기관과 범부처 협의체를 가동해 근본 대책을 마련하겠다고 밝혔다.

류제명 과기정통부 2차관은 “인공지능(AI) 기반 탐지·차단 기술을 국가 보안 체계 전반에 적용해 대응 속도를 높이겠다”면서 “기업이 침해 사실을 은폐하거나 늦게 신고하면 과태료를 강화하고, 정부가 직접 정황을 확인하면 신고와 무관하게 조사할 수 있도록 제도를 개선하겠다”고 말했다.

정부는 기업 내부 의사결정 구조 개편에도 방점을 찍었다. 그동안 많은 기업이 보안을 비용으로만 인식해 최고정보보호책임자(CISO)가 독립적으로 보고하지 못하고 예산도 뒷전으로 밀렸다. 정부는 앞으로 CISO가 최고경영자(CEO)에게 직접 보고하는 체계를 제도화해 거버넌스 자체를 바꾸도록 유도한다는 계획이다.

297만명의 개인정보가 유출된 롯데카드 사례는 보안 소홀의 결과를 단적으로 보여준다. 금융감독원 전자공시에 따르면 롯데카드는 2019년 MBK파트너스에 인수된 이후 2020년부터 지난해까지 5년간 2893억원을 배당했다. 이는 인수 전 5년간(741억원)과 비교해 4배 이상 늘어난 수치다. 배당금은 2020년 287억원에서 2023년 779억원으로 증가했지만, 영업이익은 같은 기간 3149억원에서 1689억원으로 줄었다. 반면 정보 보호 예산 비중은 2021년 12%에서 2023년 8%로 떨어졌다. 금융투자업계는 이에 대해 MBK파트너스가 롯데카드 매각이 무산되자 배당 확대에 집중한 결과라는 분석을 내놓는다.

금융당국은 롯데카드 사태 이후 전 금융사를 대상으로 보안 점검에 들어갔다. 금감원과 금융보안원을 통한 지도·감독을 강화하고, 은행·카드사·저축은행·전자금융업자 등 전 금융사에 보안 공시를 의무화한다. 지금은 KB국민은행, 신한은행, 토스 등 16곳만 자율 공시에 참여하고 있지만 앞으로는 보안 예산과 인력, 사고 현황, 대응 결과, 보안 보험 가입 여부까지 반드시 공개해야 한다.

권대영 금융위 부위원장은 “해킹 기술은 빠르게 진화하는데 금융권 대응은 이를 따라가지 못했다”며 “이번 사태를 계기로 보안 실태 점검과 재발 방지를 위한 제도 개선에 착수하겠다”고 말했다.

제재 수위도 높아진다. 디지털금융보안법 개정으로 대규모 사고 발생 시 최대 200억원까지 징벌적 과징금이 부과되고, 보안 개선 요구를 이행하지 않으면 이행강제금이 추가된다. 금융사는 매년 보안 계획을 제출해야 하며, 사고를 은폐하거나 늦게 보고하면 과태료 처분을 받는다. 권 부위원장은 “보안 사고의 사회적 파장에 상응하는 책임을 지도록 제재 수위를 높이겠다”며 “금융사 대표 책임하에 전산시스템과 보안 체계를 전면 점검하겠다”고 말했다.

다만 이날 발표에 대해 구체적인 실행 방안이 부족하다는 평가도 나온다. 해킹이 금융·비금융을 가리지 않고 전방위로 발생하는 상황에서 과기정통부와 금융위로 나뉜 대응 체계가 한계라는 지적도 제기된다.

이에 대해 류 차관은 “국민이 신뢰할 수 있는 안전한 디지털 환경을 조성하기 위해 총력을 다하겠다”고 말했다.

이 기사가 마음에 들었다면, 좋아요를 눌러주세요.

좋아요 0