| 한스경제=이나라 기자 | 국내 카드사들의 정보보호 인력과 보안 투자 수준이 은행권이나 글로벌 금융기관에 비해 현저히 낮은 것으로 나타났다. 이는 금융당국 관리 체계를 이유로 대외 공시에서 빠져 있던 카드사의 보안 실태가 롯데카드 해킹 사고를 계기로 부상했기 때문이다. 

8일 금융감독원이 집계한 기준 IT 인력 현황에 따르면, 2022년 9월 기준 국내 8개 전업 카드사의 정보보호 인력은 총 222명에 불과하다.

이는 임원급 6.5명에 직원 215.5명을 합한 수치로, 개별 카드사로 보면 평균 20~30명 남짓이다. 카드사 별로는 △현대카드 46명 △신한카드 35명 △삼성카드 34명 △KB국민카드 31명 △비씨카드 30명 △우리카드 14명 △롯데카드 20명 △하나카드 12명 수준이다.

반면 은행권의 정보보호 인력은 같은 시점 기준 699명으로 카드사의 세 배에 달한다. NH농협은행 103명·우리은행 82명·신한은행 69명·카카오뱅크 47명 등의 순이었다. 특히 카카오뱅크의 경우 전체 임직원 중 보안 인력 비중이 5%를 넘는 것을 비롯해 전통 은행 대비 보안 투자 비율이 높게 나타났다.

이에 대해 한 카드사 관계자는 "이는 3년 전의 데이터로 그 동안 디지털 금융 확대 추진에 따라 보안인력들도 상당히 늘어난 상황이다"고 설명했다. 

그러나 업계 안팎에선 최근 몇 년간의 카드업계 업황 악화에 따른 긴축기조·슬림화로 현재 인력 정체현상을 보이고 있는 만큼, 보안인력 역시 크게 늘어나지 않았을 가능성이 크다고 지적한다. 실제로 금감원에 따르면 지난해 말 기준, 국내 8개 전업카드사 정규직원 합계는 1만867명으로 2018년(1만654명)에 비해 200명이 늘어나는 데 그쳤다. 

인력 부족에 더해 보안 예산 비중도 해마다 줄어드는 추세다. 롯데카드의 지속가능경영보고서에 따르면, IT 예산 중 정보보호 투자 비율은 △2021년 12% △2022년 10% △2023년 8%로 해마다 줄었다. 신한카드 역시 2022년 10.8%에서 2024년 8.2%로 감소했다.

더욱이 이는 글로벌 금융기관의 평균 투자 수준과 비교해도 현저히 낮은 수준이다. 영국 은행권은 IT 예산의 약 11%를, 글로벌 기업 전체 평균은 약 13%를 보안에 투입한다. 카드사의 8~10%대 투자율이 카드사의 고객 수를 감안하면 취약한 수준이라는 지적이 나오는 이유다. 

국내 금융권의 보안이 국제적 흐름에 미치지 못한다는 지적도 나온다. 성균관대 고동원 교수는 '금융보안 정책의 국제 비교 및 대응 방안' 연구에서 "비대면 금융거래가 많아지면서 금융 전산망 보안이 더욱 더 중요해지고 있다"며, "국제적인 추세에 뒤떨어지지 않도록 규제 체계를 정립해야 한다"고 지적했다. 

이를 위해 그는 △금융 전산망 보안 관련 별도 법률 제정 △이사회·CEO의 보안 책임 명문화 △금융사·감독당국·수탁업자 간 정보 공유 법제화 △비상 대응 훈련 의무화 △외부 IT 수탁업자 관리·감독 강화 △망분리 규제 완화와 강력한 제재 병행 △국가 차원의 보안 인력 양성 등을 대안으로 제시했다. 

고동원 교수는 "미국을 비롯한 주요국은 보안을 경영진 책임으로 못박고 금융 복원력까지 법률에 반영한다"며, "국내도 독립적인 금융보안 법제 정비가 시급하다"고 강조했다.

그러나 2006년 제정돼 2007년 1월 1일부터 시행된 전자금융거래법은 국내 디지털금융이나 핀테크와 같은 전자금융 전반의 규제를 적용하고 있지만 IT 기술의 발전으로 전폭적인 개정이 필요하다는 목소리가 높다. 

그 동안 국회에서도 전자금융거래법 개정안 다수 제출되었고 정부도 개선을 추진한 바 있지만, 굵직한 금융사고가 불거질 때마다 법을 보완하는 방식의 부분 개정에 그치고 있다. 

실제로 지난 2023년 국회에 제출된 전자금융거래법 개정안에는 일정 규모 이상의 금융사에 대해 정보보호 인력과 투자 비율을 의무화하는 내용이 담겼다. 그럼에도 불구 국내 금융권은 수익성 악화 등을 이유로 현실적으로 어렵다는 입장만 반복하고 있다. 

한 보안업계 전문가는 "금융사 입장에서는 보안 인력 확충이 곧 인건비 부담으로 이어지기 때문에 우선 순위에서 밀릴 수밖에 없다"며, "하지만 한 번의 보안 사고가 초래할 금융소비자 피해와 브랜드 신뢰 하락을 고려하면, 보안은 비용이 아니라 투자라는 인식 전환이 필요하다"고 강조했다.

이나라 기자 2country@sporbiz.co.kr