우리은행·신한카드 유출서 드러난 정보보호 허점…금융사 곳곳서 ‘투자와 통제’ 엇박자

K-Finance / 소민영 기자 / 2026-07-08 08:27:19
우리은행 외주업체 과실·신한카드 내부자 유출 잇따라
주요 은행 정보보호 예산 21% 늘었지만 집행률은 3년 연속 하락
KB국민은행·하나은행은 투자 확대, 우리은행은 올해 공시서 투자액 감소
롯데카드 제재 하반기 변수…농협카드 KCB 유출 사례도 재조명

[소셜밸류=소민영 기자] 금융권이 정보보호 예산을 확대하고 보안 체계를 고도화하고 있지만 개인정보 유출 사고는 끊이지 않고 있는 것으로 나타났다.

 

금융권이 잇단 대형 정보보안 사고로 대규모 정보보호 예산을 투자해 시스템을 구축했음에도 사고가 빈번하게 발생하고 있는 것이다. 이는 대부분 허술한 정보 관리가 빚은 '인재'에 가깝다는 점에서 내부 시스템 재점검이 필요하다는 지적이다.

 

이에 전문가들은 정보보호 예산의 집행률을 높이고 통제 체제를 강화할 필요가 있다고 조언한다.

 

8일 업계에 따르면 금융사들이 정보보호 공시제도를 통해 보안 투자액, 전담 인력, 인증 현황을 공개하고 있지만 정보보안 사고가 반복되고 있다. 실제 사고는 외부 위탁업체 관리, 내부자 통제, 사고 탐지 지연 등 관리 사각지대에서 발생하고 있다.

 

정보보호 공시제도는 기업의 정보보호 투자, 인력, 인증, 활동 현황을 공개해 이용자 신뢰와 보안 투자 활성화를 유도하는 자율·의무공시 제도다. 그러나 최근 금융권 사고는 공시상 투자 규모보다 실제 집행률과 통제 체계가 더 중요하다는 점을 보여주고 있다.

 

▲사진=AI 생성 이미지(ChatGPT)


◇ 예산은 늘었지만 집행률은 낮아졌다

국회 정무위원회 소속 이양수 국민의힘 의원이 금융감독원으로부터 제출받은 자료에 따르면 5대 시중은행과 인터넷전문은행 3사 등 주요 은행 8곳의 2025년 정보보호 예산은 총 3978억원으로 집계됐다. 이는 2023년 3282억원보다 21.2% 증가한 규모다.

 

주요 은행의 정보보호 예산은 큰 폭으로 늘었지만 예산 집행은 이에 따라가지 못한는 것으로 나타났다.

 

주요 은행들의 정보보호 예산 집행액은 2023년 2446억원에서 2025년 2744억원으로 12.2% 늘어나는 데 그쳤다. 이에 따라 예산 집행률은 2023년 74.5%에서 2024년 70.8%, 2025년 69.0%로 3년 연속 하락했다.

 

이처럼 정보보호 예산을 늘려도 실제 집행이 따라가지 못하면서 보안 투자 확대 효과가 현장에서 충분히 구현되지 못하고 있다는 지적이 나온다.


신한은행, 우리은행, NH농협은행 등은 최근 2년 사이 정보보호 예산 규모를 확대했지만 지난해 실제 집행액은 전년 대비 감소했다. 예산 편성 확대가 곧 보안 역량 강화로 이어지는 것은 아니라는 의미다.

◇ 우리은행, 외주업체서 고객정보 유출…신한카드는 내부자 소행 허점

이러는 사이 금융권의 고객 개인정보 유출 사고는 끊임없이 발생하고 있다.


지난 3일 우리은행에서는 고객 개인정보 1만7551건이 외부로 유출됐다. 우리은행은 대체불가토큰, NFT 플랫폼 구축 업무를 맡은 외부 개발업체가 임의로 보관하던 개인정보가 해당 업체 직원 과실로 외부에 노출됐다고 공지했다. 유출 정보는 고객 식별용 연계정보(CI)와 닉네임이다. 전화번호, 주민등록번호, 주소 등은 포함되지 않았고 현재까지 악용 사례는 확인되지 않았다는 게 은행 측 설명이다.

그러나 프로젝트를 담당하던 외부 개발업체가 종료 뒤에도 고객 정보를 보관하고 있었다는 점에서 외주 보안관리와 개인정보 파기 점검 체계가 도마 위에 올랐다. 우리은행은 이 사건으로 지난 6일부터 개인정보보호위원회의 정식 조사를 받고 있는 것으로 알려졌다.

지난달 30일 한국인터넷진흥원이 정보보호 공시 종합 포털에 공개한 기업들의 정보보호 공시현황에 따르면, 공교롭게도 우리은행의 정보보호 투자액은 올해 공시에서 감소했다. 2025년 말 기준 우리은행의 정보보호부문 투자액은 363억8143만원으로, 전년 말 444억257만원보다 약 18% 줄었다. IT 투자 대비 정보보호 투자 비중도 12.3%에서 9.1%로 낮아졌다. 다만 정보보호 전담인력은 73.8명에서 101명으로 늘어 인력 측면에서는 보강이 이뤄졌다.


신한카드에서는 지난해 12월 내부자 유출 사고가 발생했다. 신한카드는 2022년 3월부터 2025년 5월까지 신규 가맹점 대표자 개인정보 약 19만2000건이 유출됐다고 개인정보보호위원회에 신고했다. 해당 사고는 외부 해킹이 아니라 내부 직원이 신규 카드모집을 위해 가맹점 대표 개인정보를 외부로 유출한 사안으로 파악됐다.

신한카드 역시 홈페이지 사과문을 통해 해킹 등 외부 침투가 아니라 직원을 통한 유출이라고 설명했다. 금융권 보안 사고가 외부 공격뿐 아니라 내부 직원의 권한 남용과 영업 현장의 정보관리 부실에서도 발생할 수 있다는 점을 보여준 사례다.

 

◇ 은행별 보안투자 격차…국민은행 작년 433억 집행해 가장 커

문제는 이같은 사고가 언제든지 일어날 수 있다는 점이다. 금융권, 특히 은행권의 정보보호 투자가 편차를 보이고 예산을 편성하고도 제대로 집행하지 않는 경우도 적지 않아 잠재적 위협요인이 상존한다는 것이다. 

 

KB국민은행은 2025년 기준 정보보호부문 투자액 433억2011만원, IT 투자 대비 정보보호 투자 비중 8.15%를 공시했다. 전담인력은 96.7명이다. KB국민은행은 2024년 민간분야 주요정보통신기반시설 정보보호 종합수준 평가에서 99.10점을 받아 최우수 등급을 받았고, 제로트러스트 구축 실증사업에도 참여했다.

특히 KB국민은행은 전년과 비교해 정보보호 투자 우선순위를 높인 점이 눈에 띈다. 2024년 정보보호 투자액은 약 425억원이었으나 2025년에는 433억원으로 늘었다. 반면 전체 IT 투자액은 2024년 5673억원에서 2025년 5315억원으로 감소했다. IT 예산은 줄었지만 정보보호 투자는 늘리면서 IT 투자 대비 정보보호 투자 비중은 7.5%에서 8.15%로 상승했다.

신한은행은 다른 흐름을 보였다. 정보기술부문 투자액은 2024년 말 4283억8305만원에서 2025년 말 4634억6864만원으로 늘었지만, 정보보호부문 투자액은 370억3518만원에서 368억9841만원으로 소폭 줄었다. IT 투자 대비 정보보호 투자 비중도 8.64%에서 7.96%로 낮아졌다. 다만 정보보호 관련 활동 건수는 48건에서 60건으로 증가했다. 예산 확대보다는 임직원 교육, 전담인력 관리활동, 이용자 인식 제고, 정보보호 관련 활동 등 실행 범위를 넓힌 모습이다.

하나은행은 올해 정보보호 자율공시에 참여하며 보안투자 현황을 공개했다. 하나은행의 2025년 기준 정보보호부문 투자액은 371억6715만원, 정보기술부문 전체 투자액은 4121억80만원으로 집계됐다. IT 투자 대비 정보보호 투자 비중은 9.0%다. 주요 투자 항목에는 차세대 보안관제, 전자금융 이상거래탐지시스템, 제로트러스트 보안모델, API 침해대응 등이 포함됐다.

공시가 확인된 주요 은행을 비교하면 정보보호 투자액은 KB국민은행이 433억원대로 가장 크고, 하나은행과 신한은행, 우리은행은 360억~370억원대에 분포한다. 반면 IT 투자 대비 정보보호 투자 비중은 우리은행과 하나은행이 9%대, KB국민은행과 신한은행은 8% 안팎이다.

 

다만 우리은행은 전년 대비 투자액과 비중이 모두 낮아졌고, 신한은행은 IT 투자가 늘었음에도 정보보호 투자액과 비중이 소폭 하락했다는 점에서 단순 금액보다 투자 방향성과 집행률을 함께 봐야 한다는 분석이다.

◇ 롯데카드 제재 하반기 변수…카드업권도 예외 아니다

카드업권에서는 롯데카드 사고가 최대 변수다. 롯데카드는 지난해 9월 해킹으로 고객 297만명의 정보가 유출된 사고와 관련해 금융당국 제재 절차를 밟고 있다. 금융감독원은 영업정지 4.5개월과 과징금 50억 원 등이 담긴 제재안을 금융위원회에 넘긴 것으로 알려졌다. 최종 결론은 금융위 안건소위와 정례회의 일정을 거쳐 나올 예정이다.


롯데카드는 2025년 말 기준 정보보호부문 투자액 125억7377만원, IT 투자 대비 정보보호 투자 비중 9.8%를 공시했다. 주요 투자 항목으로는 웹방화벽, XDR, ASM, DTM 등 보안·침해사고 예방체계 구축을 제시했다. 그러나 대규모 유출 사고 이후 투자 규모만으로 보안 수준을 판단하기 어렵다는 지적이다.

이양수 의원이 금융감독원으로부터 제출받은 자료에 따르면 10대 증권사와 8개 전업 카드사의 정보보호 집행액도 전반적으로 증가세를 보였다. 다만 지난해 대규모 해킹 사태로 당국 제재 절차를 밟고 있는 롯데카드는 2025년 정보보호 예산을 전년 대비 151억원에서 128억원으로 축소 편성해 대조를 이뤘다.

◇ 농협카드 KCB 사례, 10년 뒤에도 비용은 계속됐다

농협카드 사례도 다시 주목된다. 2014년 개인신용평가회사인 코리아크레딧뷰로(KCB) 직원이 NH농협카드, KB국민카드, 롯데카드 고객정보 1억400만건을 유출한 사건은 금융권 역대급 개인정보 유출 사고로 꼽힌다.

10년이 지난 뒤에도 손해배상 소송은 이어졌다. 2025년 서울고등법원은 NH농협카드가 KCB를 상대로 제기한 손해배상소송 2심에서 KCB가 NH농협카드에 228억원을 배상하라고 판결했다. 외부 협력사와 위탁업체를 통한 정보 접근, 내부자 통제 실패가 사고 이후 장기간 막대한 비용으로 이어질 수 있다는 점을 보여주는 사례다.

전문가들은 금융권 보안의 초점이 단순한 투자액 확대에서 데이터 접근권한 관리, 수탁업체 점검, 내부자 이상행위 탐지, 개인정보 보관·파기 이력 관리로 옮겨가야 한다고 지적한다. 보안 예산과 인증은 기본 조건일 뿐, 실제 고객정보가 어디에 저장되고 누가 접근하며 언제 파기되는지까지 통제하지 못하면 유출 사고는 반복될 수밖에 없다는 것이다.

금융권 관계자는 “최근 사고는 외부 해킹뿐 아니라 내부 직원과 수탁업체 관리 실패에서 비롯된 경우가 많다”며 “정보보호 공시가 형식적 숫자 경쟁에 그치지 않으려면 사고 예방과 사후 대응 역량까지 함께 검증할 수 있는 체계가 필요하다”고 말했다.

[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]

      뉴스댓글 >

      SNS