“남일 같지 않네”..카드업계, 롯데카드발 해킹 리스크에 보안체계 점검 '부랴부랴'

[한국정경신문=우용하 기자] 롯데카드에서 발생한 대규모 해킹사고 이후 보안 체계에 대한 걱정이 카드업계를 휩쓸고 있다. 정보보호 예산 비중이 업계 평균치를 하회한 경우도 여럿 존재했던 것으로 알려져 리스크 관리 역량에 대한 우려가 커지는 분위기다.

이에 카드사들은 모니터링 체계와 대응 매뉴얼을 강화하면서 보안 시스템 점검에 나섰다. 금융당국의 역량 강화 주문에 발맞춰 보안 관련 투자 계획도 마련한다.

25일 업계에 따르면 롯데카드 해킹사고로 카드사 보안 리스크에 관심이 쏠리고 있다. 하지만 지난 몇 년 사이 카드사의 정보보호 예산 비중은 줄어든 것으로 나타났다. 특히 업계를 이끌고 있는 삼성카드와 현대카드의 정보보호 예산 비중이 롯데카드보다 적어 보안 투자에 대한 인식이 부족하다는 화살을 피하기 어려운 상황이다.

국민의힘 강민국 의원실이 금융감독원으로부터 받은 자료에 따르면 지난 2020년부터 올해까지 8개 카드사에서 책정된 '정보기술' 예산은 총 5조5588억원으로 집계됐다. 이 중 보안과 관련된 ‘정보보호’ 예산은 5562억2900만원으로 10% 수준에 머물렀다.

전체 카드사 중에서는 평균치를 하회하는 곳도 수두룩했다. 특히 각각 8.7%, 8.9%를 기록한 삼성카드와 현대카드는 해킹사고를 겪은 롯데카드(9.0%)보다도 정보보호 예산 비중이 낮았다. 하나카드도 9.7%로 업계 평균치인 10%를 밑돌았다.

예산 비중 자체를 줄인 곳도 여럿 있었다. 우리카드와 신한카드는 2020년부터 올해까지 정보보호 예산을 각각 4.4%포인트, 0.7%포인트 줄였다. BC카드와 삼성카드 역시 같은 기간 관련 예산을 1.3%포인트, 3.0%포인트씩 낮춰 온 것으로 확인됐다.

이런 가운데 정보보안에 대한 실질적인 위협이 확인되자 카드사들은 최근 모니터링 활동 강화와 대응 매뉴얼 마련에 적극적으로 나서기 시작했다.

먼저 하나카드는 롯데카드 침해사고 이후 즉시 긴급 자체점검을 수행했다. 이와 함께 보안관제 모니터링 체계를 더 끌어올리기로 했다. 유사한 해킹시도가 발생하는 것을 대비한 ‘보안사고 대응 매뉴얼’ 구축도 추진하고 있다.

우리카드 역시 사고 후 보안관제센터 모니터링 활동을 한층 강화했다. 정보보호 시스템 고도화 작업도 함께 이뤄지고 있다. 신한카드는 금융보안원이 발표한 악성코드 점검과 보안 위협 정보(CVE)에 대한 재점검 활동을 진행했다. 금융보안원과는 '디도스(DDoS) 공격 비상대응센터' 운영·보안 이벤트 공동 대응 등 협력 체계를 구축 중이다.

카드사들이 보안 체계를 점검하는 동안 금융당국은 전 금융권 정보보호 최고 책임자(CISO) 대상 긴급 침해사고 대응회의를 개최했다. 이 자리에서 당국은 외형적 성장에 걸맞는 금융보안 역량·운영복원력을 갖춰달라고 주문했다.

당국 요청에 앞서 하나카드는 ‘아무것도 신뢰하지 않는다’는 원칙의 인증강화와 취약점 탐색·생체인식 기반 사내 시스템 인증방식 고도화 등의 보안 투자 계획을 수립·검토해 왔다.

정태형 현대카드 부회장은 22일 기자간담회에서 “해킹사고는 결코 남의 일이 아니다”라며 “내·외부 화이트해커를 통한 점검을 진행하고 있다”고 밝혔다. 또 “내년 예산 편성에 해킹 방지 투자를 확충할 계획이다”라고 말했다.

한 카드업계 관계자는 “자칫 해커들의 공격 타깃이 될 수 있어 구체적인 보안 강화 방안을 설명하기는 힘들다”라며 “물론 유사한 사고가 발생하지 않도록 계속해서 보안 시스템을 점검하고 고도화해 나갈 계획이다”라고 말했다.