“AI도 뚫린 금융보안”…금융위, 징벌적 과징금 도입 예고

AI 등 첨단 기술의 도입과 함께 해킹 위협도 한층 정교해지면서 금융 산업의 보안 패러다임이 근본적으로 도전을 받고 있다. 최근 SGI서울보증보험, 웰컴금융그룹, 롯데카드 등에서 대규모 해킹사고가 잇따라 발생하자, 금융위원회는 징벌적 과징금 도입 등 신속한 제도 강화를 통해 산업 신뢰성 제고와 피해 확산 방지에 나서겠다고 밝혔다. 업계는 이번 정부 발표를 금융권 보안 경쟁의 분기점으로 보고 있다.

금융위원회는 19일, 정부서울청사에서 과학기술정보통신부와 합동 브리핑을 열고 “보안사고 발생 시 사회적 파장에 상응하는 엄정한 책임을 묻겠다”며, 징벌적 과징금 신설 등 실효적인 재발방지 방안을 추진하겠다고 강조했다. 특히 금융회사 CEO 직속의 전산 시스템 및 정보보호 체계 긴급 점검 지시와 함께, 금융감독원 및 금융보안원을 통한 현장 지도‧감독이 병행되고 있다.

기술적으로 최근 롯데카드 해킹 사례는 미상의 해커가 온라인 결제서버(WAS)에 악성코드를 설치, 200GB에 달하는 신용정보를 탈취한 것이 핵심이다. 296만9000명의 개인정보와 카드 비밀번호, CVC 등 민감한 정보 유출이 확인됐으나, 아직 직접 피해가 공식 접수되진 않았다. 금융권 관계자에 따르면, 롯데카드는 사고 발생 전에도 정보보호 인증(ISMS-P)을 획득했으나, 보안 패치가 미진한 틈을 해커가 집요하게 파고든 것으로 조사됐다. 이번 사고는 인증 체계만으로는 실질적 침입을 막기에는 한계가 있다는 점을 보여줬다.

시장 측면에서 신용카드, 보험, 인터넷 금융 등 서비스의 디지털화가 급격히 진전되며, 금융사 전산 인프라의 취약점이 동시에 노출되고 있다. 실제로 금융위는 소비자 공시 강화를 비롯해, 정보보호 최고책임자(CISO) 권한 확대, 침해사고 복구 및 피해자 구제 제도 개선 등 보안 거버넌스의 전면적 개편을 예고했다. 금융회사가 자율적 투자를 보완할 수 있도록 외부 압박과 내부 감시 장치를 병행하겠다는 뜻이다.

글로벌 시장에서는 이미 미국, 유럽을 중심으로 금융권 해킹사고에 대해 징벌적 과징금과 책임 제재가 광범위하게 도입되고 있다. 한국도 10년 전 카드 3사 정보유출 사태를 계기로 금융 IT·보안 투자를 늘렸지만, 디지털화와 서비스 고도화, 망 분리 규정 등 구조 변화로 공백이 다시 커졌다는 분석이 나온다. 전문가들은 “AI를 비롯해 해킹 기술의 진화 속도에 금융권 대응 역량이 뒤처지고 있다”며 구조적 재점검을 강조한다.

정책적으로는 금융당국이 금감원, 금융보안원과 함께 현장 조사를 통한 위규사항 파악 및 조치에 주력하고 있다. 동시에 ‘금융회사도 언제든지 해킹 피해자가 될 수 있다’는 인식을 공유, 침해사고 발생 시 신속 복구와 피해자 보호가 의무화될 수 있도록 제도 보완에 나서고 있다. 롯데카드 사례에서도 인증 취득만이 만능이 아님을 재확인하며, 실제 현장 대응력·패치 속도·인적 조직 보완 등이 핵심임을 시사했다.

전문가들은 “기술만큼이나 금융권 전반의 경영 문화와 책임 구조, 정책의 실효성이 중요한 분기점이 됐다”며, “이번 정부의 신속 조치가 금융산업 생태계의 신뢰 기반을 다시 세울 수 있을지 주목된다”고 진단했다. 산업계는 이번 징벌적 과징금 강화 정책이 실제 시장에 안착할 수 있을지 주시하고 있다.