[이데일리 이미나 기자]
19일 각 은행이 국회 정무위원회 더불어민주당 간사 강준현 의원에게 제출한 자료에 따르면 국내 주요 은행들은 매년 정보기술(IT), 정보보호 예산은 늘리고 있지만 모의 해킹 등을 통한 자체 점검은 제각각이었다. 이데일리가 강준현 의원실을 통해 입수한 9개 은행(KB국민·신한·하나·우리·NH농협·기업·카카오·케이·토스)의 IT 예산을 분석한 결과 지난해 상반기 기준 총 3조 8224억원으로 늘었다. 2021년(2조 8634억원)과 비교하면 33.5% 늘어난 것이다. 정보보호 예산은 같은 기간 2842억원에서 4545억원으로 약 60% 증가했다. 특히 우리은행의 정보보호 예산이 지난해 상반기 기준 약 787억원으로 9개 은행 중 가장 많았고 농협은행(약 753억원), 국민은행(676억원), 기업은행(663억원)이 뒤를 이었다. 신한은행이 약 453억원, 카카오뱅크가 435억원, 하나은행이 433억원을 각각 기록했다.
예산 자체는 늘리고 있지만 점검 관행은 아직 정착하지 못하는 실정이다. 각 은행의 감사부가 실시하는 IT 감사의 경우 5년간 국민은행이 38건, 우리·농협은행은 각각 21건, 11건을 시행했다.
화이트해커를 통한 IT 자체점검 현황을 분석한 결과 각 은행은 1년에 2~3번 꼴로 자체 해킹을 통해 보안 취약점을 점검했다. 우리은행은 2021년부터 2025년까지 총 6회의 화이트해커 점검을 실시했다. 신한, 하나은행은 5년간 9회씩 화이트해커를 통해 IT 보안을 자체 점검했다.
화이트해커, 즉 자체 고용한 내·외부 전문해커를 통해 각 사의 보안 취약점을 찾아내는 점검체계는 업계에서 가장 실효성 있는 금융보안 수단으로 평가받는다. 체크리스트 수준의 형식적 점검이 아니라 실제 보안 패치 최신화, 방어벽 강화 등의 조처로 이어진다는 점에서다. 각 금융사와 위탁·계약 등을 통해 보안 취약점을 점검하는 금융보안원 또한 화이트해커 확대를 핵심 예방책으로 설정하고 화이트해커 전담조직을 부서 단위로 확대했다.
KB국민은행과 NH농협은행이 화이트해커를 통해 보안 취약점을 발견하고 개선 조처를 하는 데 적극적이었다.
국민은행은 지난해 28회를 포함해 최근 5년간 62회의 화이트해커 점검을 진행했다. 이를 통해 계정 비밀번호 변경, 네트워크 분리 및 취약설정 비활성화, 중요 페이지 접근 제어 등의 개선 조처를 했다. 2023년에는 웹 서비스 해킹방지 상용 솔루션, 외부 웹메일 시스템 보안을 점검하고 지난해에는 파일 다운로드 로직 보안을 강화하는 등 취약한 점들을 자체 개선했다. 농협은행은 지난해 8회를 포함해 5년간 총 31회의 화이트해킹을 통해 288건의 취약점을 발견했고 대부분은 조치를 완료했다.
국책은행인 기업은행, 비대면으로만 영업하는 인터넷전문은행의 경우 화이트해커를 통한 점검은 연 1~2회에 불과했다. 기업은행에서는 최근 5년간 총 5회, 토스뱅크는 같은기간 6회의 점검만 실시했다. 케이뱅크는 매년 상·하반기에 한 번씩 5년간 10회, 카카오뱅크의 경우 매년 하반기에 2회씩 총 10회의 화이트해커를 통한 자체 점검을 해왔다. 카카오뱅크는 이를 통해 62건, 케이뱅크는 39건의 보안 취약점을 발견한 것으로 나타났다.
국회와 당국에서는 금융권의 예방적 보안 투자를 강조하고 있다.
강준현 의원은 “보안은 비용이 아니라 금융산업의 신뢰자산이며 경쟁력”이라며 “사후 제재보다 사전 예방 중심 체계로 신속하게 전환할 수 있도록 정부의 제도 정비는 물론 금융사들의 적극적 투자가 병행돼야 한다”고 말했다. 금융위원회는 지난달 대통령 업무보고에서 모의해킹과 금융업권 정기 합동훈련 실시 등 빈틈없는 금융보안체계를 구축하겠다고 밝혔다. 개인정보보호위원회는 사이버 침해 사고가 발생했을 때 모의해킹 등 기업의 예방적 투자 수준을 고려해 제재 처분을 감경한다는 방침이다.
