문제는 해킹 자체보다도 해킹 사실을 뒤늦게 인지

최근 국내 금융회사가 연이어 글로벌 해커들의 공격 대상이 되면서 금융권의 보안 현실에 심각한 우려가 제기되고 있다. SGI서울보증보험 웰컴금융그룹 롯데카드에서 발생한 연쇄 해킹 사건은 단순한 사고를 넘어 우리 금융권 보안 체계의 취약함을 여실히 드러냈다. 문제는 해킹 자체보다도 해킹 사실을 뒤늦게 인지하고 대응했다는 점에서 더욱 심각하다. 해커들이 이미 내부에서 장기간 활동하고 있었음에도 이를 알지 못했다는 사실은 금융사 보안의 신뢰를 근본부터 흔들고 있다.

뒤늦게 드러난 해킹의 민낯

롯데카드의 경우 지난달 14일부터 해킹 공격이 시작되었지만 이를 인지한 것은 무려 17일이 지난 31일이었다. 이 사이 해커들은 여러 차례 공격을 감행했고 약 1.7GB에 달하는 거래 데이터가 유출된 정황이 포착됐다. SGI서울보증보험 역시 지난 7월 14일 랜섬웨어 공격으로 전산 시스템이 마비되었지만 그 이전부터 해커가 내부 시스템에 잠복해 있었던 것으로 조사됐다. 더욱 충격적인 점은 보안의 핵심인 VPN 비밀번호를 기본값 0000으로 방치했다는 사실이다. 이는 단순한 부주의가 아니라 조직 차원의 보안 인식 부족을 보여주는 대목이다.

이처럼 해커의 침입을 수 주 혹은 수 개월 동안 알아채지 못한 것은 보안 시스템의 미비와 동시에 위기 대응 체계가 부재했음을 의미한다. 피해 사실이 드러난 뒤 기업이 내놓는 개인정보 유출 없음이라는 발표는 오히려 불안감을 가중시킨다. 이미 해커가 내부를 자유롭게 드나든 상황에서 얼마나 많은 정보가 유출되었는지는 그 누구도 장담할 수 없기 때문이다.

디지털 전환과 함께 커지는 보안 위험

금융권은 디지털 전환과 인공지능 혁신을 생존 전략으로 추진하고 있다. 그러나 혁신의 속도가 빨라질수록 보안의 취약점은 기하급수적으로 커진다. 클라우드 기반 업무 환경이 확대되면서 보안 관리 범위가 넓어지고 통제 사각지대도 늘어나고 있다. 특히 AI 기술이 빠르게 확산되면서 섀도 AI 기반의 침해 사고가 크게 늘어나고 있다는 조사 결과도 있다. IBM 보고서에 따르면 이러한 침해 사고에서 개인 식별 정보가 유출될 비율은 65%에 달하며 지적 재산 유출 역시 40%에 이른다. 기술 혁신이 가져온 새로운 편의성과 기회가 동시에 치명적인 보안 리스크로 작용하는 셈이다.

이 같은 상황에서 금융사들이 보안 투자를 줄이고 있다는 사실은 심각한 문제다. 롯데카드의 경우 보안 예산 비중이 2021년 12%에서 2023년 8%로 감소했고 국내 금융권 평균 보안 투자 비중 역시 9.6%에 불과하다. 반면 미국 기업들은 평균 13.2%를 보안에 투자하고 있어 큰 격차를 보인다. 단순히 비용 절감 차원에서 보안을 소홀히 한다면 그 대가는 더 큰 피해와 신뢰 상실로 돌아올 수밖에 없다.

보안을 비용이 아닌 자산으로 바라봐야

디지털 전환 시대에 보안은 선택이 아닌 필수다. 보안은 단순한 비용 항목이 아니라 기업의 지속 가능성과 신뢰를 지탱하는 핵심 자산이다. 사고가 발생한 뒤에야 허겁지겁 보완하는 방식으로는 더 이상 위기를 막을 수 없다. 기업은 보안 컴플라이언스를 조직 전반의 기준으로 삼아야 하며 모든 접속과 활동을 끊임없이 검증하는 제로 트러스트 기반의 체계를 갖추어야 한다. 또한 금융당국은 징벌적 과징금과 함께 보안 강화를 위한 인센티브 구조를 마련해 기업이 실질적으로 보안 체질을 강화하도록 유도해야 한다.

결국 해킹 사고에서 가장 무서운 점은 데이터의 유출 그 자체보다 우리가 믿고 있는 보안 체계가 사실은 무너져 있다는 깨달음이다. 신뢰가 무너지면 금융 시스템 전체의 안정성도 흔들린다. 지금이야말로 기업과 정부가 함께 보안을 근본적이고 전략적인 과제로 삼아야 할 때다. 해커들이 언제 어디서 침투할지 모르는 시대에 보안을 단단히 하지 못한다면 미래의 금융 혁신도 공허한 구호에 불과할 것이다.