[비즈한국] 롯데카드의 개인정보 유출 사태의 파장이 커지고 있다. 롯데카드는 피해 사례가 없다고 강조하지만 외부로 유출된 데이터가 적지 않은 것으로 드러나면서 금융 피해에 대한 우려가 이어진다. 이번 사태로 금융사 전 업권의 정보보호 관리 현황과 투자 규모에 눈길이 쏠린 가운데, 금융사의 자율 공시를 통해 정보보호 현황을 톺아봤다.
롯데카드의 고객 개인정보 유출로 인해 정보보호 투자를 향한 관심이 커지고 있다. 사모펀드인 MBK 파트너스가 롯데카드를 인수한 이후 수익성에 집중한 탓에 정보보호 투자 비중을 줄인 것 아니냐는 비판이 나오면서다.
강민국 국민의힘 의원실에 따르면 롯데카드의 2025년 정보기술 예산 대비 정보보호 예산은 9%로, 2020년 14.2%에서 5년 사이 5.2%포인트 감소했다. 다만 MBK 파트너스는 “IT 인프라만 기준으로 본 수치로, 롯데카드는 IT 인프라와 인력 투자를 동시에 하고 있다”고 반박했다.
국내 기업의 정보보호 투자 현황은 ‘정보보호 공시’를 통해 확인할 수 있다. 기업이 정보보호 투자액과 전담 인력 현황을 공개하는 것으로 2022년부터 사업 분야, 매출액, 서비스 이용자 수에서 일정 기준에 달하는 기업은 공시 의무가 생긴다. 올해는 666개 업체가 의무 대상으로 지정됐다. 다만 공공기관, 소기업, 금융사, 전자금융업자는 의무 대상에 해당하지 않는다.
공시 의무가 없지만 자발적으로 현황을 공개하는 금융사도 있다. 최근 3년간(2023~2025년) 자율 공시한 금융사를 살핀 결과 5대 시중은행(KB국민·NH농협·신한·우리·하나은행) 중에서는 국민은행, 우리은행, 신한은행(2024년부터 참여)만 정보보호 현황을 공시했다. 우리은행은 2020년부터 자율 공시를 해왔고, 하나은행과 농협은행은 한 번도 공시하지 않았다.
올해 은행권에서는 △국민은행 △신한은행 △우리은행 △제주은행 △토스뱅크가 정보보호 투자 및 인력 현황을 공시했다. 제2금융권 은행 중에서는 웰컴저축은행만 자율 공시했다. 가상자산 거래소를 운영하는 빗썸과 두나무(업비트)는 정보 통신 업종에 속해 의무 공시 대상에 포함됐다. 그 밖에 일부 증권사(SK·NH투자·대신·신한·토스·한국투자증권), 전자지급결제대행사(토스페이먼츠·카카오페이), 캐피털사(롯데캐피탈)가 정보보호 현황을 밝혔다.
업권별로 정보보호 현황을 살핀 결과, 제1금융권에서 2024년(2025년 공시) 정보기술 투자액 대비 정보보호 투자액 비중이 10%가 넘은 곳은 우리은행(12.3%)과 제주은행(10.8%) 두 곳에 그쳤다. 그 뒤를 토스뱅크 9.8%, 신한은행 8.6%, 국민은행 7.5% 순으로 이었다. 특히 우리은행은 2022년과 2023년에도 각각 10.5%를 기록해 3년 동안 10% 이상의 비중을 유지했다.
우리은행은 지난해 정보기술 투자액 3596억 원 중 444억 원을 정보보호에 투입해 금액 기준으로도 1위에 올랐다. 그 뒤를 국민은행(5673억 원 중 425억 원), 신한은행(4288억 원 중 370억 원) 순으로 이었다. 토스뱅크는 967억 원 중 95억 원을, 제주은행은 351억 원 중 38억 원을 정보보호에 투자했다.
공시를 하지 않은 농협은행은 정보보호 투자액이 2022년 657억 원에서 2023년 651억 원으로 소폭 줄었다가, 2024년 802억 원으로 확대했다고 전했다. 하나은행은 정보보호 현황과 관련한 수치를 공개하지 않았다. 다만 2024년 지속가능경영보고서에 따르면 하나금융지주의 정보기술 예산 대비 정보보호 투자 비중은 26%였다.
제2금융권인 웰컴저축은행은 저축은행 중 유일하게 2024년부터 정보보호 현황을 자율 공시했는데, 정보기술 투자 대비 정보보호 투자 비중이 2023년 13.5%(162억 중 22억), 2024년 15.0%(175억 중 26억)로 높은 수치를 기록했다.
가상자산 거래소는 정보 통신 서비스에 해당해 하루 평균 이용자 수(방문자 수)가 100만 명 이상일 경우 공시 의무가 생긴다. 업비트 운영사인 두나무의 정보보호 투자액과 비중은 2022년 87억 원(6.4%), 2023년 92억 원(9.4%), 2024년 148억 원(9.6%)으로 증가세를 그렸다.
특히 2023년 정보기술 투자액은 976억 원으로 전년(1357억 원) 대비 28.1% 줄었으나 정보보호 투자 비중은 늘어났다. 인력도 확대했다. 정보기술 부문 인력 중 정보보호 전담 인력(내부·외주)은 13.3명(5.2%), 26.7명(7.9%), 33.6명(9.0%)으로 증가했다.
올해 의무 대상으로 지정된 빗썸은 4년 전 자율 공시 내역(2020년 자료)과 차이를 보였다. 빗썸은 2024년 정보보호 투자액을 92억 원으로 책정해, 정보기술 투자액(925억 원) 중 9.9%를 차지했다. 2020년 정보보호 투자액(47억 원)과 비교하면 금액은 약 2배 증가했으나 비중은 절반(18.3%→9.9%)으로 줄었다. 다만 같은 기간 정보보호 전담 인력의 수는 10.1(비중 9.0%)명에서 31.9명(10.2%)으로 3배 이상 늘었다.
한편 롯데카드 개인정보 유출 사태의 불똥은 금융권 전반으로 튀었다. 9월 23일 권대영 금융위원회 부위원장은 금융사 전 업권의 정보보호최고책임자(CISO) 180여 명을 불러 긴급회의를 열고 보완 체계를 점검·보완할 것을 주문했다. 권 부위원장은 이날 “CEO 책임하에 전산 시스템과 정보보호 체계에 보안상 허점이 없는지 ‘사운을 걸고’ 전면적으로 챙겨야 한다”며 “신속한 전수 점검과 내부 관리 체계 마련을 서둘러 달라”고 강조했다.
심지영 기자
jyshim@bizhankook.com[핫클릭]
·
[비즈피플] 구글과 손잡은 뤼튼, 이세영 대표 '생활형 AI' 도전 주목
·
"정부 땅 관리했을 뿐, 오염 정화책임 없다" 캠코, 인천 연수구 상대 소송 승소
·
제약사 최대주주 된 컨설팅업체, 과연 경영 능력 있을까
·
[현장] "대표이사 포함 연말까지 인적 쇄신"…롯데카드 개인정보 유출 수습 왜 늦었나
·
KT 소액결제 사태 일파만파…김영섭 KT 대표 연임 가능할까
![[단독] '투자금 100억 증발' 코오롱글로벌, 출자 회사와 장부 공개 분쟁](/images/common/list01_guide02.png)
