[해킹전쟁 ②] 카드사 '보안 레이스' 재시동

올해 해킹 피해 신고만 1500건 이상…예산 증액·조직 개편 나서

배예진 기자 | byj2@newsprime.co.kr | 2025.11.17 10:27:48

[프라임경제] 디지털이 금융의 기본 인프라가 된 시대에도 보안은 여전히 '비용'으로 취급된다. 해커의 공격 방식이 빠르게 고도화되면서 금융권은 방어전에 몰리는 형국이다. 완벽한 차단이 불가능하다면, 관건은 사고 이후 대응 체계다.

최근 대규모 해킹 사고를 겪은 롯데카드뿐 아니라 카드업계 전체적으로 개인정보 유출은 되풀이되고 있다. 카드사들이 보안 예산을 확대하고 전담 조직을 재정비하고 있지만 구조적 취약점이 사라지지 않는다는 비판도 여전하다. 보안이 선택이 아닌 기업 생존의 문제라는 경고가 다시 고개를 든다.

실제 2014년 KB국민카드, NH농협카드, 롯데카드에서 약 1억건이 넘는 개인정보가 외주업체 직원에 의해 무더기로 유출된 사건이 있었다. 사후 카드사들은 보안 강화 대책을 쏟아냈지만 내부관리 부실, 외주업체 통제 미흡, 데이터 이동 관리 부재 등 구조적 문제는 제대로 개선되지 못한 채 남았다. 그리고 11년이 지난 올해, 유사한 사고가 다시 반복됐다.

이같은 상황 속에서 카드사들은 뒤늦게 예산과 조직을 손보며 체질 개선에 나서는 분위기다.

KB국민카드는 올해 정보보호 예산을 전년 대비 62% 늘린 331억원으로 편성했다. 이는 국내 카드사 가운데 최대 규모로, 삼성카드(206억 원), 신한카드(181억 원)보다 높은 수준이다.

KB국민카드의 정보보호 예산(인건비 포함)은 △2022년 200억원 △2023년 167억원 △2024년 156억원으로 감소세였으나, 사고 이후 다시 대폭 늘렸다. IT예산 대비 비중도 10.9%→9.2%→8.5%로 하락했다. 그러나 올해는 보안체계 강화와 시스템 구축을 위한 투자가 늘어나면서 예산을 대폭 확대했다.

KB국민카드 관계자는 "제로트러스트 구축 관련해서 지난해부터 중요도를 높이는 추세"라며 "전년도 상승분의 기저효과로 인해 줄어든 것처럼 보일 수 있으나, 투자 강화를 위해 향후에도 예산을 늘려갈 예정"이라고 설명했다.

삼성카드는 예산보다 인력·내부통제 역량 강화에 무게를 두고 있다. 2012년 자사 직원이 서버를 해킹해 고객 정보를 빼낸 사건이 있었던 만큼 접근권한 관리와 감시 체계를 우선 강화하는 방식이다. IT예산 대비 정보보호 투자 비중은 2019년 14.4%에서 올해 8.6%까지 줄어들었지만, 회사 내부에서는 "금액보다 체계가 중요하다"는 기조가 유지되는 것으로 보인다.

신한카드는 최고정보보호책임자(CISO) 조직을 통해 전사적 보안 체계를 재편 중이다. 2021년 모바일 앱 부정결제로 약 2억원 규모 피해가 발생해 과태료 처분을 받은 이후, 발급 체계와 데이터 이동 관리 시스템을 손보는 작업에 속도를 내고 있다. 2022년에도 카드번호 발급 구조의 허점이 드러나 무작위 부정 결제가 발생한 바 있어 추가 보완책도 병행 중이다.

현대카드는 예산 확대와 함께 조직 재설계 필요성을 강조했다. 정 회장은 지난 9월 기자간담회를 통해 "롯데카드 해킹 사고는 남의 일이 아니다"며 "자사 담당 부서에도 경각심을 주문했고, 만약 예산 증액 요구가 있으면 막지 않겠다"고 밝혔다.

그러면서 "예산을 늘린다고 해서 반드시 사고를 막을 수 있는 것은 아니다"며 "무기를 산다고 국방력이 저절로 강화되는 것도 아니고, 오히려 조직을 개선하면 그동안 보이지 않던 문제들이 드러날 수 있다"고 덧붙였다.

김동아 더불어민주당 의원이 KISA로부터 제출받은 기업 규모별 사이버 해킹 침해사고 신고 건수. ⓒ 김동아 의원실

카드사 이외에도 국내 기업에 대한 사이버 해킹 피해 건수는 증가세를 보이고 있다. 국회 산업통상자원중소벤처기업위원회 김동아 더불어민주당 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 민간기업을 대상으로 한 사이버 해킹은 최근 5년간 6447건에 달했다.

2021년 640건이었던 해킹 피해 건수는 지난해 1887건으로 3년간 약 3배 증가했다. 올해 8월은 이미 1501건의 해킹 신고가 접수됐다. 해킹이 특정 산업군을 넘어 일상화되고 있다는 의미다.

정부도 제도 개선에 착수했다. 지난 9월 과학기술정보통신부와 금융위원회 합동 브리핑에서 류제명 과기정통부 2차관은 "보안 없이는 디지털전환도, AI 강국도 없다"며 "기업이 고의로 침해사고 신고를 지연하거나 은폐할 경우 과태료를 강화하고 정부가 기업 신고 없이도 조사할 수 있도록 제도를 바꾸겠다"고 말했다.