6일 금융권에 따르면 서울중앙지방법원은 NH농협카드가 신용정보업체 KCB(코리아크레딧뷰로)를 상대로 제기한 카드사 개인정보 유출사고와 관련한 손해배상소송(2심)에서 지난 1일 228억원을 배상하라고 선고했다. 이는 지난 2014년 KCB 직원이 농협카드를 비롯해 KB국민카드, 롯데카드 등 카드사 고객 정보 1억400만건을 유출한 사건으로 10년이 지난 현재도 손해배상 소송이 진행 중이다.

총 4000만건이 유출된 KB국민카드에 대해선 대법원이 지난해 KCB가 623억원의 손해배상을 하라고 판결했다. 이어 농협카드는 1심에서 180억원 배상을 내렸다가 2심에서는 48억원 늘어난 것이다. 배상액은 카드사 손해액의 60%에 해당한다. 카드사 개인정보 유출 사건은 금융권에서 발생한 역대 최대 규모다. 카드사들은 정보가 유출된 고객에 대해 2014년 당시 1인당 10만원의 배상금을 지급했다.

이 사건을 비롯해 농협 전산망 사고(2011년) 등을 계기로 금융권의 해킹과 정보 보안 규제가 대폭 강화됐다. 전자금융업 감독규정에 따라 '557규정'이 시행돼 전체 인력 5%는 IT인력, IT인력 5%는 정보보호 인력, 전체 IT 예산 가운데 7%는 정보보호 예산으로 배정해야 했으며 정보보호최고책임자(CISO)의 권한과 역할도 강화됐다.

다만 이번 GA 해킹사고를 통해 사각지대 관리 필요성이 제기된다. 보험사의 정보 보안은 과거 대비 대폭 강화됐으나 보험사의 상품을 위탁 판매하는 '제3자 리스크'는 갈수록 더 심화하고 있어서다. 보험사들은 전속 보험설계사를 대폭 줄이는 대신 GA를 통해 보험상품을 절반 이상 판매 중이다. 이로 인해 GA에 계약자의 민감한 정보가 집중되고 있으나 보험사 수준의 정보 보안은 기대하기 어렵다.

거래 규모가 급증하고 있는 가상자산거래소의 해킹 우려도 고조된다. 소규모 자산운용사나 대부업체, 저축은행업계, PG사(전자결제대행사) 등도 금융보안의 사각지대에 놓였다. 이들 업권 대부분은 금융보안원의 정회원사도 아니다.

금융권 관계자는 "금융사들은 정보 보안을 비용으로 인식하는 경우가 많아 위험을 외주화 하는 경향이 있다"며 "GA 해킹 사태가 터졌는데, 사고 규모 파악도 어려울 뿐 아니라 최종적으로 누가 책임을 져야 하는지도 명확지 않다"고 지적한다.

https://n.news.naver.com/mnews/article/008/0005190043?sid=101