| 스마트에프엔 = 한시온 기자 | 롯데카드 해킹 사고로 297만명의 개인정보와 200GB 규모의 데이터가 유출되면서 최근 잇따른 통신사 해킹 사태와 함께 국내 보안 체계의 구조적 문제가 드러났다. 반면 카드사들의 정보보호 투자 비율은 오히려 감소한 것으로 확인됐다.
22일 카드업계에 따르면 롯데카드는 지난 2021년 전체 정보기술(IT) 예산의 12%를 정보보호에 투입했으나 이후 투자 비율이 감소해 2023년 8%까지 하락했다.
신한카드와 삼성카드 역시 최근 3년간 투자 비율이 꾸준히 줄어들면서 8%대에 머물렀다.
카드사별 지속가능경영보고서에 따르면 롯데카드는 2021년 12%, 2022년 10%, 2023년 8%로 매년 2%p씩 투자 비율이 줄어들었다. 신한카드도 2022년 10.8%에서 2023년 9.3%, 지난해 8.2%로 감소했다. 삼성카드는 2021년 9.0%, 2022년 9.1%, 2023년 8.7%로 떨어졌고 2024년에도 8.6%로 하락했다.
현재 국정원과 금융권을 제외한 일반 기업은 전체 IT 예산 대비 정보보호 투자 비중에 대한 별도의 규제가 없어 자율에 맡겨져 있다. 한국인터넷진흥원(KISA) 정보보호 공시 종합 포털에 따르면 실제 지난해 기준 우리나라 773개 기업의 IT 예산 대비 정보보호 투자 비중은 6.29%로 집계됐다. 이는 올해 미국 기업의 IT 예산 중 보안 투자 비율인 13.2%의 절반에도 못 미치는 수준이다.
이에 개인정보보호위원회는 지난 5월 '개인정보 정책포럼'에서 오는 2027년까지 기업·기관의 정보보호 투자 비중을 전체 IT 예산의 10% 이상, 2030년까지 15% 이상까지 확대하는 방안을 검토하겠다고 밝혔다. 이를 통해 이상감지시스템, 취약점 점검 모의 해킹 등 핵심 보안 분야에 필요한 투자를 확대한다는 구상이다.
롯데카드 관계자는 “2019년 이후 정보보호 예산 집행 규모는 꾸준히 늘고 있다”며 “특히 2021년에는 재해 상황 대비를 위한 승인시스템 재해복구시스템 고도화에 투자가 집중돼 일시적으로 예산이 크게 증가했다”고 설명했다.
실제로 롯데카드의 정보보호 예산은 2020년 69억 원에서 2023년 114억원, 지난해에는 128억원으로 확대됐다. 다만 2021년(137억원)보다는 여전히 9억원 가량 적은 수준이다.
신한카드 관계자는 “2022~2023년에는 정보보호 관련 시스템 개발과 고도화 작업으로 예산이 확대됐고, 2024년에는 전체 IT 예산이 늘면서 상대적으로 비중이 축소됐다”며 “2025년에는 정보보호 예산을 증액해 비중이 확대됐다”고 설명했다.
이어 “대부분 카드사들이 개정 전 전자금융감독규정 제8조(IT 예산의 7% 이상을 정보보호에 편성)를 가이드라인으로 삼아 운영해 왔다”고 덧붙였다.
- KT "피해액 2억4000만원···2만명 정보 유출"
- 롯데카드, 해킹으로 297만명·200GB 정보 유출···"전액 보상"
- 반복된 해킹 사태, 드러난 이동통신 3사의 '구조적 보안' 실패
- KT '해킹' 사태로 '소액결제' 구조적 허점 드러나
- 개인정보위, KT·LG유플러스 개인정보 유출 의혹 조사 착수
- 신한신용정보, 업계 첫 '인적자원개발 우수기관' 인증
- 과기정통부, "엄중한 사이버 위기 상황···기업 정보보안 강화 총력 당부"
- 롯데카드 “사이버 침해 사고 피해 전액 보상…보호조치 진행 중”
- 국가기관 개인정보 유출, 작년 391만건 피해···2022년 대비 6배 늘어
- [기자수첩] 보안은 비용 아닌 신뢰···변명은 그만해야
- '국가 전산망 멈췄다' 대전 국정자원 전산실서 리튬이온배터리 화재
- 신한카드, '스플렌더 플러스 카드' 출시