서울경제부 차장

국내 주요 기업에 대한 잇따른 해킹으로 온 나라가 술렁이고 있다. 보안이 생명인 금융사들까지 해커들의 먹잇감으로 전락하면서 우리 사회 핵심 인프라의 허술한 보안 체계가 적나라하게 드러났다. 더 큰 문제는 이를 쉬쉬하다 사태를 키우는 ‘소 잃고 외양간 고치기’ 식 대응에 소비자들이 분통을 터뜨리고 있다는 점이다.

대표적 사례가 롯데카드다. 회원만 960만 명에 달하는 이 회사는 지난달 14일 해킹을 당했지만, 2주가 지나서야 사태를 인지했다. 처음에는 약 1.7GB의 데이터 유출이라고 발표했으나, 실제 피해 규모는 무려 200GB. 카드번호·유효기간·CVC번호까지 유출된 고객만 28만 명에 달했고, 단순 정보까지 포함하면 고객 세 명 중 한 명이 피해를 입었다.

늑장 대응은 롯데카드만의 문제가 아니다. 지난 7월 SGI서울보증에 침투한 랜섬웨어는 전산 시스템을 마비시키기 전 이미 내부에 잠복해 있었다. 특히 서버 보안의 핵심인 VPN 비밀번호를 기본 값인 ‘0000’으로 방치했다는 사실은 충격을 더했다.

사고 자체보다 더 심각한 것은 금융사들 태도다. 해킹이 발생할 때마다 되풀이되는 답변은 “개인정보 유출 사실은 확인되지 않았다”는 안일한 변명 뿐이다. 침해 사실을 늦게 인지하고, 피해 규모를 축소해 발표하려는 모습은 공통된 행태다.

문제의 본질은 신뢰다. 금융업은 소비자가 자신의 소중한 재산을 맡길 수 있다는 믿음 위에서만 존립할 수 있다. 단순 시스템 마비에도 생활에 불편이 큰 시대에 민감한 개인정보가 범죄에 악용될 수 있다는 불안은 치명적이다. 한두 기업의 문제가 아닌 만큼, 금융권 전체의 신뢰 붕괴를 막아야 한다는 우려도 커지고 있다.

아이러니하게도 금융사들은 최근 수년간 디지털 전환(DX)과 인공지능(AI) 투자에는 열을 올리면서 보안 예산은 오히려 줄이고 있다. 국내 금융권의 보안 예산 평균 비중은 9.6%로, 미국(13.2%)에 크게 못 미친다. 롯데카드 역시 2021년 12%에서 2023년 8%로 하락했다. 혁신의 속도는 강조하면서 보안은 뒷전으로 밀어낸 결과가 이번 사태다.

보안은 선택이 아니라 필수, 비용이 아니라 자산이다. 사고가 터지고 뒤늦게 땜질하는 방식은 고객 불안만 키운다. 이재명 대통령이 “보안 사고를 반복하는 기업에 대해 징벌적 과징금을 포함한 강력한 대처”를 지시한 것도 결국 금융권의 신뢰 위기를 우려했기 때문이다. ‘이자 장사’라는 비판에 시달리는 금융사들이 보안마저 등한시한다면 소비자들이 등을 돌리는 것은 시간 문제다. 신뢰를 잃은 금융사는 시장에서 존재할 수 없다. 해킹에 뚫린 것은 시스템이 아니라, 바로 우리 사회와 소비자 신뢰라는 사실을 잊지 말아야 한다.

김진호 기자 rplkim@busan.com