[서울=뉴시스]권안나 기자 = 최근 국내 금융회사가 글로벌 해커들의 단골 먹잇감으로 전락했다는 자조가 들린다. 특히 SGI서울보증보험, 웰컴금융그룹, 롯데카드로 이어진 금융사들의 연쇄 해킹은 국내 금융권의 보안 체계의 허술함을 고스란히 드러냈다.
사고 사실이 알려진 직후 이들 기업은 하나같이 “현재까지 개인정보 유출 사실이 확인되지 않았다”고 발표했지만, 위안이 되지는 않았다. 더 큰 피해의 전조일 수 있다는 생각에서다.
가장 놀라웠던 사실은 해킹당한 기업들이 침해 사실을 수 주, 혹은 수 개월을 인지하지 못하고 지나온 사례가 다반사였다는 점이다.
롯데카드의 경우 지난달 14일 해킹이 시작됐지만, 이를 인지한 건 17일이 지난 31일이었다. 이 기간 동안 여러 차례의 공격이 이어졌고, 약 1.7GB(기가바이트)의 거래 데이터가 유출된 정황도 포착됐다.
SGI서울보증에 침투한 랜섬웨어 역시 지난 7월14일 전산시스템을 마비시키기 전 이미 일정 기간 내부 시스템에 잠복해 있었다고 한다. 서버 보안과 직결되는 VPN 비밀번호를 기본값 ‘0000’으로 방치했다는 사실도 충격을 더했다.
이는 단순한 해킹 사고를 떠나 보안에 대한 신뢰 붕괴로 이어지는 문제다. 우리가 안전하다고 믿고 일상을 보내는 동안, 해커들이 은밀히 시스템을 드나들며 얼마나 많은 정보들을 빼돌리고 있었을지, 그 피해의 실상은 아무도 알 수 없는 일이다.
특히 금융권에서 생존 전략으로 추진되는 디지털 전환(DX)과 인공지능 혁신(AX)이 가속화되면서 보안의 잠재적 위험은 기하급수적으로 커졌다. 클라우드 작업 환경이 확산된 점도 큰 변수가 되고 있다.
혁신의 속도 만큼 보안 체계가 따라가지 못하면 결과는 가혹하다. IBM 조사에 따르면 AI 확산과 함께 ‘섀도 AI(Shadow AI)’ 기반 침해 사고에서 개인 식별 정보 유출 비율이 65%, 지적 재산 유출이 40%에 달했다.
문제는 국내 금융권의 보안 투자 수준이 여전히 낮다는 점이다. 롯데카드의 보안 예산 비중은 2021년 12%에서 2023년 8%로 줄었고, 지난해 국내 금융권 평균도 9.6%에 불과하다. 미국 기업들이 평균 13.2%를 투자하는 것과 비교하면 대비가 취약하다.
전 산업이 디지털로 전환되는 시대에 더 이상 보안은 선택사항이 아니다. 보안을 비용이 아니라 자산으로 여겨야 한다. 사고가 터진 뒤에야 서둘러 보완하는 방식으로는 더 이상 위기를 막을 수 없다.
기업은 보안 컴플라이언스를 조직 전반의 기준으로 삼고, 지속적으로 검증하는 ‘제로 트러스트’ 기반의 보안 체계로 전환해야 한다. 금융당국도 징벌적 과징금과 보안 인센티브 구조 등을 통해 기업 체질 전환을 강제해야 한다.