“보안은 비용이 아니라 생존”…은행권·금융당국, 정보보호 총력전

[재계는 지금<304>] -은행권 정보보안 체질 개선 “보안은 비용이 아니라 생존”…은행권 · 금융당국, 정보보호 총력전

책임경영 체계·CISO 권한 격상·제도 보완까지…디지털 금융시대 ‘안전망’ 강화

르데스크 | 입력 2025.09.25 12:40

임현범 기자 구독

[사진=연합뉴스]

최근 잇따른 대규모 보안 사고로 금융 소비자의 불안이 커지는 가운데 은행권이 전사적인 차원에서 정보보호 역량 강화에 나서고 있다. 신한은행은 최고정보보호책임자(CISO)를 부행장급으로 격상하며 보안의 위상을 높였고, 신한금융그룹은 임원부터 직원까지 연결된 책임경영 기반의 정보보호 체계를 새롭게 마련했다.

금융당국 역시 징벌적 과징금 도입과 보안 수준 비교공시 확대 등 제도적 장치를 강화하며 업계 전반의 체질 개선을 독려하고 있다. 금융사들이 고객 신뢰 회복과 안전한 디지털 금융 환경 조성을 위해 보안 강화에 힘을 기울이면서 과거와 달리 실질적 변화가 가시화되고 있다는 평가가 나온다.

책임경영 체계 확립, 보안 문화 뿌리내리기…금융보안 새 판 짜기 안간힘

은행권의 보안 강화 노력은 단순히 기술적 장비를 늘리는 차원을 넘어 조직 문화 전반으로 확산되고 있다. 신한금융그룹은 최근 ‘책임경영 기반 정보보호 체계’를 가동한다고 발표했다. 기존에는 임원과 부서장 중심으로 보안 관리가 이뤄졌으나, 이번 제도를 통해 직원 개개인의 역할까지 명확히 규정했다는 점이 주목된다.

▲ 신한금융그룹은 최근 ‘책임경영 기반 정보보호 체계’를 도입해 보안관리에 있어서 직원 개개인의 역할까지 명확히 규정했다.[사진=신한금융그룹]

특히 신한금융은 직원별로 정보보호 직무와 활동을 기록한 ‘내부통제 활동 명세서’를 신설했다. 이를 통해 모든 직원이 정보보호의 주체임을 인식하고, 실제 업무에서 책임 있게 대응할 수 있도록 관리 체계를 강화했다.

또한 지주사 이사회를 대상으로 금융보안 전문가를 초청해 연수를 진행, 리더십 차원의 인식 제고에도 힘썼다. 그룹 차원의 경영계획에는 정보보호 관련 평가 비중을 대폭 확대하고, 인력과 예산 증대도 핵심 지표로 반영할 예정이다.

이 같은 흐름은 다른 은행으로도 번지고 있다. 우리은행 역시 정보보호본부장 출신 임원을 경영 핵심 축으로 끌어올렸다. 이는 보안 사고를 사후에 대응하는 것이 아니라, 사전에 예방하고 리스크 관리의 일환으로 체계화하겠다는 강력한 메시지로 해석된다.

은행권이 정보보안 강화에 나서는 배경엔 올해 들어 연이어 보안사고가 발생하고 있어서다. 4월 SK텔레콤을 시작으로 KT, 롯데카드 등 업권을 가리지 않고 해킹 사고가 잇따랐다. 금융사와 통신사가 긴밀히 연결된 디지털 환경에서 발생한 이번 연쇄 유출 사건은 단순한 시스템 오류를 넘어선 구조적 위기를 보여줬다는 지적이 제기됐다.

전문가들은 반복적 사고의 근본 원인으로 △보안 투자 부족 △전문 인력 확보 미흡 △낡은 전산 인프라를 꼽는다. 실제로 최근 국정감사 자료에 따르면 금융업권 IT 인력 비중은 10% 수준에 그쳤다. 국가정보원 역시 2021년 국가정보보호백서에서 향후 5년간 1만명 이상의 정보보호 인력이 부족할 것이라고 전망했다. 일부 금융사에서는 예산 부족 탓에 보안 설비 현대화조차 지연되고 있는 것으로 나타났다.

은행권 관계자는 “책임경영 체계는 보안 업무를 일부 부서의 전담 업무로 한정하지 않고, 그룹 전체가 참여하는 문화로 확산시키는 데 의미가 있다”며 “문제가 발생했을 때 신속하게 대응하고 재발을 막을 수 있는 기반이 될 것이다”고 설명했다.

CISO 권한 강화하고 경영리스크 대비…금융당국, 보안사고 고강도 규제 도입

▲ 금융당국은 중대한 사고 발생 시 징벌적 과징금을 부과하고 보안 수준 개선 요구를 이행하지 않으면 이행강제금을 물리는 강력한 규제를 추진한다. [사진=금융위원회]

은행권의 변화는 CISO 직급 격상에서도 엿볼 수 있다. 신한은행과 우리은행은 CISO를 부행장급으로 격상했다. 신한은행 송영신 상무는 정보보호본부장과 Tech운영부 부장을 거친 IT·보안 전문가다. 우리은행 윤태진 상무는 정보보호본부장 경력을 살려 조직의 보안 역량을 총괄한다. 업계에서는 이러한 흐름이 전체 은행권으로 확대될 것으로 전망하고 있다.

전문가들은 CISO 직급 격상이 단순한 형식이 아니라 보안을 핵심 경영 리스크로 다루겠다는 의지의 표현이라는 해석을 내놓고 있다. 한 금융권 관계자는 “디지털 전환이 은행 생존과 직결되는 상황에서 CISO는 단순한 보조 임원이 아니라 조직 전체 리스크를 관리하는 핵심 인력이다”고 강조했다.

금융당국도 제도적 보완책을 내놓으며 은행권의 행보를 뒷받침하고 있다. 중대한 사고 발생 시 징벌적 과징금을 부과하고 보안 수준 개선 요구를 이행하지 않으면 이행강제금을 물리는 강력한 규제를 추진한다. 또한 금융사별 보안 수준 비교공시를 확대하고 전 금융권 공통 대응 매뉴얼을 고도화해 업계 전반의 체질 개선을 유도한다는 것이다.

전문가들은 이번 변화가 단기적 대응에 그치지 않으려면 예산 확대와 함께 효율적 집행이 병행돼야 한다고 지적했다. 홍기용 인천대 경영학과 교수는 “대규모 보안 사고가 반복된 과거와 달리 이제는 책임경영과 제도적 뒷받침 속에 금융보안이 기업가치 제고의 핵심 과제로 자리 잡고 있다”며 “단순히 정보보안 투자를 늘리는 것보다 중요한 건 체계적인 재교육을 통해 보안에 대한 인식을 바꿀 필요가 있다”고 말했다.