“요즘 누가 은행을 가나” 여의도에서 식사하다 보면 나오는 얘기다. 이미 우리나라 금융서비스는 모바일과 비대면으로 바뀐지 오래됐다. 과거 은행 창구에서 직원과 대화를 통해서만 받을 수 있던 대출까지 모바일로 이뤄지는 시대다. 금융서비스의 디지털화는 편리함을 주지만, 준비가 부족한 급속한 디지털화는 금융 소비자를 위험을 빠뜨린다. 소비자의 자산과 개인정보를 노리는 ‘해킹’은 디지털 시대의 발목을 잡는 최대 위협으로 떠오르고 있다.
해킹은 갈수록 교묘해지고 있다. 과거 전산망 마비를 일으켰던 단순 해킹을 넘어, 최근에는 랜섬웨어와 공급망 공격이라는 치명적 공격들이 금융사를 옥죄고 있다. 롯데카드의 297만 고객정보가 탈취된 사례가 대표적이다. 해커들은 웹쉘(서버를 조종하기 위해 만든 해킹 프로그램)과 랜섬웨어를 이용해 롯데카드 내부 파일 약 200GB를 탈취한 것으로 알려졌다. 유출된 파일에는 고객 주민등록번호와 카드 뒷면 CVC, 내부 식별번호 등이 포함됐다.
해킹 공격으로 금융시스템이 멈춘 사례도 있다. 올해 7월 SGI서울보증보험 시스템이 해커들의 공격에 마비되면서 주택담보대출, 전세대출 등 은행 대출 업무가 먹통이 되는 사태가 벌어졌다. 서울보증 사태도 랜섬웨어를 통한 해킹으로 추정된다. 대출이 지연되면서 이사 당일 잔금을 치르지 못한 고객들은 당혹감을 감추지 못했다. 최근에는 금융 솔루션 공급업체를 통해 침투하는 공급망 공격까지 발생하면서 해킹의 위험성은 더 커지고 있다.
이런 위협 앞에서 금융사가 해야 할 역할은 분명하다. 서비스 제공자로서 고객이 안심하고 거래할 수 있는 환경을 만드는 것이다. 특히 고객의 돈을 관리하는 금융사는 신뢰가 무엇보다 중요한 만큼, 보안 사고를 결코 가볍게 여겨서는 안 된다. 결국 뱅크런도 불신에서 시작되는 법이다.
관건은 금융사의 예방 및 대응 수준을 강화하는 일이다. 이를 위해 정부는 ‘징벌적 과징금’ 제도를 해결책으로 제시했다. 정부가 제시한 보안 확보 의무를 위반해 발생한 금융사고에는 징벌적 과징금을 부과하고, 정부의 개선 요구를 실행하지 않을 때는 이행강제금까지 내도록 만들 계획이다.
징벌적 과징금제도는 단기적으로 효과를 볼 수 있다. 다만 장기적으로 금융사의 체질을 바꾸는 데 얼마나 실효성이 있을지 미지수다. 처벌 중심의 제도가 근본적 해결책이 될 수 없다는 점은 중대재해처벌법이 증명하고 있다. 중대재해처벌법 시행 이후에도 건설 현장의 근로자 사망사고는 줄지 않고 있다. 또한 정부가 내놓은 기준이 모든 해킹 위협에서 금융사를 벗어나게 만들 수도 없다. 오히려 해킹 피해 상황에서 금융사에 면죄부를 줄 여지가 있다.
금융사의 변화를 이끌어내기 위해서는 채찍과 당근이 함께 필요하다. 사이버 보안 문제를 등한시한 금융사는 처벌해야 하지만 적극적으로 투자해 보안을 강화한 곳은 분담금 감면 등 인센티브를 주는 방식이 필요하다. 이를 통해 보안에 대한 투자가 비용에 그치지 않고 이익으로 돌아올 수 있다는 인식을 심어줘야 한다.
금융사의 보안 투자는 이제 선택이 아니다. 생존이 걸린 문제다. 해킹 위협은 외부 공격에 그치지 않는다. 내부 대응 체계와 시스템을 어떻게 갖추느냐에 따라 한 금융사의 미래가 달라질 수 있다. 정부의 규제도 필요하지만, 무엇보다 금융사 스스로 디지털 보안 책임을 다하는 형태가 이뤄져야 한다. 디지털 시대에서 사이버 보안은 고객의 자산을 지켜내는 금융의 본질적 가치로 자리 잡아야 한다.
