‘예산은 쌓이고 집행은 멈췄다’…금융권 사이버 보안, 숫자의 역설

댓글 0

은행 정보보호 예산
연합뉴스

금융권이 사이버 위협을 명분으로 정보보호 예산을 빠르게 늘리고 있지만, 실제 집행률은 오히려 해마다 떨어지고 있다. ‘예산은 증가, 집행은 감소’라는 역설적 구조가 확인되면서, 보안 투자의 실효성에 의문이 제기된다.

6일 이양수 국민의힘 의원이 금융감독원으로부터 제출받은 자료에 따르면, 5대 시중은행(국민·농협·신한·우리·하나)과 인터넷전문은행(카카오·케이·토스뱅크)의 2025년 정보보호 예산 편성액은 3,978억원으로 집계됐다. 2023년 3,282억원에서 2년 새 21.2% 증가한 수치다.

그러나 예산 집행률은 같은 기간 74.5%에서 69.0%로 3년 연속 하락했다. 편성액이 늘수록 실제 쓰지 않는 예산도 함께 쌓이는 구조가 반복되고 있다.

늘어나는 예산, 줄어드는 집행률의 역설

개별 은행을 살펴보면 편차가 더욱 뚜렷하다. 우리은행은 정보보호 예산을 2023년 523억원에서 2025년 787억원으로 50.5% 이상 확대했지만, 집행률은 78.6%에서 53.8%로 급락했다. 신한은행 역시 예산을 꾸준히 늘렸으나 2025년 집행액은 2024년 대비 오히려 줄었다.

반면 하나은행은 2025년 편성한 530억원을 전액 집행하며 집행률 100.0%를 기록해 대조를 이뤘다.

은행 정보보호 예산
연합뉴스

보안 투자 집행이 지지부진한 사이, 대형 사고는 현실이 됐다. 2025년 발생한 롯데카드 해킹사고로 약 297만명의 고객정보가 유출됐으며, 이 중 약 28만명은 카드번호·보안코드(CVC) 등 결제 민감 정보가 포함된 것으로 파악됐다.

금융감독원 자료에 따르면 롯데카드는 해킹사고 이후인 2025년 정보보호 예산을 151억원에서 128억원으로 오히려 줄여 편성했다.

금융위원회와 금융감독원은 현재 제재 수위를 논의 중이며, 2014년 내부 직원에 의한 정보유출 사건 당시 영업정지 3개월 전력을 고려한 가중 처벌 가능성도 거론된다.

AI 위협 고도화 속 규제 패러다임 전환

규제 환경도 전환점을 맞고 있다. 과거 금융당국은 전체 IT 예산의 7% 이상을 정보보호에 배정하도록 권고하는 이른바 ‘5·5·7 룰’을 운영했지만, 이 기준은 현재 폐지된 상태다. 대신 금융당국은 전자금융거래법 개정을 통해 금융사의 정보보호 수준 공시를 의무화하는 방향으로 정책 축을 이동시키고 있다.

여기에 ‘미토스’ 같은 프런티어 AI 등장으로 공격 코드 자동 생성, 피싱 문구 최적화 등 사이버 공격의 정교함이 한층 높아질 수 있다는 우려도 커지고 있다.

이양수 의원은 “사이버 위협이 커지는 상황에서 금융권은 선제적 정보보호 투자와 집행을 소홀히 해서는 안 된다”며 “금융당국도 편성 예산이 실제로 제대로 집행되는지 면밀히 점검해야 한다”고 말했다. 공시 의무화가 현실화되면 예산·집행률·사고 이력이 사실상 공개 성적표가 돼, 투자에 소극적인 금융사는 시장과 소비자의 직접적인 감시를 받게 될 것이라고 전문가들은 내다본다.

0
공유

Copyright ⓒ 리포테라. All rights reserved. 무단 전재, 재배포 금지