"인공지능 3대 강국?" 사이버공격에 무차별 노출된 금융권

이승엽 2025. 9. 2. 18:12
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

금융권에서 해킹 사고가 잇따르고 있다.

이번엔 롯데카드다.

금융감독원과 금융보안원은 2일 서울 중구 롯데카드 본사와 전산센터에 조사인력을 투입해 지난달 발생한 해킹사태 관련 현장 검사에 착수했다.

실제 롯데카드는 올해 7월 금융보안원으로부터 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득했지만 불과 한 달 만에 해킹 사고가 발생했다.

닫기
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
금감원, '자료 유출' 롯데카드 현장 검사 착수
"엄정 제재" 원칙... 집단소송 카페도 등장
보험·카드, 정보보호 공시 자율 참여 '제로'
"새 정부 사이버안보 뒷전... 정책 재설계해야"
"공공, 민간 할 것 없이 해커들의 놀이터 된 한국"

지난 7월 14일 서울 중구 롯데카드 본사 모습. 연합뉴스

지난 7월 14일 서울 중구 롯데카드 본사 모습. 연합뉴스

금융권에서 해킹 사고가 잇따르고 있다. 이번엔 롯데카드다. 올해 하반기 들어 SGI서울보증과 웰컴저축은행그룹에 이어 금융권에서만 세 번째 사고다. 900만 명이 넘는 회원을 보유한 카드사마저 해킹 피해에 노출되면서 사이버보안에 구멍이 뚫렸다는 비판이 나온다.

금융감독원과 금융보안원은 2일 서울 중구 롯데카드 본사와 전산센터에 조사인력을 투입해 지난달 발생한 해킹사태 관련 현장 검사에 착수했다. 앞서 롯데카드는 서버에서 웹쉘 등 7종의 악성코드와 함께 자료 유출 시도 흔적이 발견됐다고 1일 밝혔다. 금융당국은 개인정보 유출 여부를 조사하는 한편 카드사 보안조치가 제대로 이뤄졌는지 확인하고 있는 것으로 전해졌다.

롯데카드는 개인정보 유출은 아직 확인되지 않았다는 입장이다. 하지만 보안업계는 롯데카드에서 유출된 데이터 1~2기가바이트(GB)에 고객정보도 포함됐을 가능성을 배제할 수 없다고 본다. 웹쉘은 해커가 서버의 취약점을 악용해 설치한 악성코드로, 이를 이용하면 서버를 외부에서 원격으로 조종할 수 있다. 온라인 서버 해킹을 통해 회사 내부망까지 침투했을 가능성도 남아 있는 것이다.

취임 초부터 '금융소비자 보호'를 기치로 내세운 이찬진 금감원장은 전 금융권에 보안관리체계 전면 재점검을 지시했다. 이 원장은 "관리 소홀로 인한 금융보안 사고는 엄정 제재하겠다"며 금감원 내 비상대응체계를 가동해 소비자 피해 예방에 나섰다.

그래픽=김대훈 기자

그래픽=김대훈 기자

방대한 개인정보를 보유하고 있어 꾸준히 해커의 주요 타깃이었던 금융권은 긴장하는 분위기다. 특히 카드업계는 2014년 대규모 개인정보 유출 사태를 겪은 전례가 있는 터라 내부 점검에 나서는 등 더욱더 고삐를 바짝 쥘 수밖에 없다. 벌써 롯데카드 가입자들을 중심으로 집단소송을 준비하는 네이버 카페도 개설됐다. 한 카드사 관계자는 "롯데카드 소식에 내부망 이상 행위 점검에 나서는 등 더 신경을 쓰고 있다"고 전했다. 은행과 보험, 증권업계도 모니터링 강화에 나섰다.

전문가들은 단순히 금융사를 옥죄는 것만으로 근본적인 해결이 어렵다는 입장이다. 글로벌 해킹조직의 수법이 고도화되면서, 오래된 사이버보안 체계에서 내부 통제만 강조하는 것으론 해킹을 막을 수 없다는 것이다. 실제 롯데카드는 올해 7월 금융보안원으로부터 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득했지만 불과 한 달 만에 해킹 사고가 발생했다. SK텔레콤과 예스24도 ISMS-P 인증을 받았지만 해킹에 뚫린 건 마찬가지였다.

사이버안보의 컨트롤타워인 국가안보실 산하 각 부처의 역할 조정도 요구된다. 정보보호 관련 기능은 행정안전부와 과학기술정보통신부, 국가정보원, 개인정보보호위원회, 금융위원회, 한국인터넷진흥원(KISA), 금융보안원 등으로 쪼개져 있어 체계적인 감독 대응이 어렵다는 지적이다.

예컨대 2021년부터 정보보호공시 제도가 도입됐는데, 정작 금융권은 당국에 보고할 내용과 중복된다며 의무공시 대상에서 빠졌다. 정보보호공시에 자율 참여하고 있는 은행은 신한·KB국민·우리·제주은행 등 4곳뿐이다. 금융투자업도 토스증권 등 6개사에 그친다. 보험·카드사는 전무하다.

새 정부가 인공지능(AI) 산업을 육성한다면서도 함께 가야 할 사이버안보는 국정 과제에 포함되지 않는 등 뒷전에 놓았다는 비판도 제기된다. 국가정보원 3차장과 대통령실 사이버안보비서관이 두 달간 공석이다가 최근에서야 임명된 것도 '사이버안보 홀대론'이 나오는 이유 중 하나다. 김승주 고려대 정보보호대학원 교수는 "공공, 민간 할 것 없이 한국이 해커들의 놀이터가 된 상황"이라며 "범정부 차원의 사이버보안 거버넌스 정책 재설계가 시급하다"고 주문했다.

이승엽 기자 sylee@hankookilbo.com
전유진 기자 noon@hankookilbo.com
안하늘 기자 ahn708@hankookilbo.com

Copyright © 한국일보. 무단전재 및 재배포 금지.

한국일보에서 직접 확인하세요. 해당 언론사로 이동합니다.