롯데카드 해킹 여파…국내 카드사 보안 투자 현황은

By이수민

롯데카드 해킹 사태 이후 국내 카드사들의 보안 역량에 관심이 쏠리고 있다. 롯데카드뿐 아니라 다른 카드사도 공격의 대상이 될 수 있다는 이야기도 나오기 때문이다. 이에 사고 이후 카드사들은 보안 모니터링을 한층 강화했으며, 고객 정보 보호를 위해 점검과 관리 체계를 더욱 엄격히 운영하고 있다.

5일 금융권에 따르면 KB국민카드는 최근 3년간 보안 예산 중 올해 가장 큰 규모로 편성했다. 국민카드의 보안 조직은 정보보호본부 산하 정보보호부로 편제돼 있으며, 개인정보와 정보보호 관련 업무를 상시 수행하고 있다. 또 정보보호위원회를 운영해 개인정보보호 정책, 보안 사고 대응, 취약점 조사·대응 등 주요 안건을 심의·의결하고 있으며, 정보보호 최고책임자가 이를 총괄한다.

회사는 고객 정보 유출 방지, 조회 이력 관리, 개인정보 파기 절차 등 정보보호 전반을 상시 모니터링하고 있다. 아울러 각 부서의 정책 준수 여부와 이행 실적을 핵심성과지표(KPI)에 반영해 임직원들의 책임 의식을 높이고 있다. 또 개인정보 침해 사고 발생 시 신속하고 효과적으로 대응하기 위해 ‘침해 사고 대응반’을 운영 중이다. 사고 유형과 심각도를 기준으로 단계별 대응 절차를 마련해 체계적으로 관리하고 있으며, 24시간 보안 관제를 통해 이상 징후를 실시간 감시해 사전 예방에 나서고 있다.

국민카드는 앞으로 방화벽, 디도스(DDoS), 웹셀 탐지 및 차단 등 보안 시스템을 적시에 업그레이드하고 장비도 지속적으로 교체할 방침이다. 동시에 제로트러스트 보안체계 전환을 위해 인증·접근 통제를 강화하고, 신뢰 점수 기반 위협 대응, 생성형 인공지능(AI) 모니터링, 모의 침투 훈련체계 고도화 등 차세대 보안 전략을 추진할 계획이다.

우리카드는 2021년 이후 매년 평균 9%p(포인트) 이상 보안 예산을 확대하며 보안 역량 강화에 나서고 있다. 회사는 정보보호본부를 중심으로 전임 CISO를 임명해 관리 체계를 강화했으며, 자산과 정보를 보호하기 위해 ‘24×365 보안 관제센터’를 운영하고 있다. 또 주기적인 점검과 시스템 업데이트를 통해 보안 사고 예방에 힘쓰고 있으며, 앞으로도 보안 투자와 전문성 강화를 지속 추진할 계획이다.

하나카드는 IT 예산에서 보안이 차지하는 비중을 2022년 7.4%, 2023년 9.3%, 2024년에는 13%까지 확대했다. 현재 21명의 보안 인력이 근무 중이며, 추가 전문 인력 확충도 검토 중이다. 롯데카드 해킹 사건 이후 즉시 긴급 자체 점검을 실시해 ‘특이사항이 없음’을 확인했으며, 기존에 운영하던 보안 관제 모니터링도 강화해 운영하고 있다.

또 유사한 해킹 시도에 대비해 관계 법령과 규정에 따른 ‘보안(침해)사고 대응 매뉴얼’을 마련하고 있다. 이와 함께 ▲제로트러스트(Zero Trust) 보안 원칙에 따른 인증 강화(네트워크 초세분화 등) ▲보안 취약점 탐색 고도화 ▲지문 등 생체 인식 기반 사내 시스템 인증 방식 고도화 등을 주요 보안 투자 과제로 추진하고 있다.

신한카드는 정보보호 및 개인정보 관리를 전담할 전문가를 선임해 운영 중이다. 정보보호최고책임자(CISO), 개인정보보호책임자, 신용정보관리·보호인을 각각 두고 있으며, 최고 책임자 산하에는 개인(신용)정보보호, IT 보안, 보안 점검 전담 인력을 배치해 각 분야의 정보보호 활동을 수행하고 있다.

아울러 정보보호 활동은 CISO를 위원장으로 하는 정보보호위원회를 통해 정기적으로 심의·의결된다. 위원회는 개인(신용)정보 활용 부서와 ICT 부서로 구성돼 있다. 정보보호 정책과 관리체계의 적정성을 지속 점검하고 개선함으로써 고객 정보의 안전한 관리를 강화하고 있다.

신한카드는 정보보호 시스템을 포함한 전체 시스템에 대해 매년 분석과 평가를 실시하고 있으며, 별도의 모의훈련을 통해 보안 점검을 강화하고 있다고 말했다. 이어 이벤트 단계별 대응 매뉴얼을 마련하고 부서별 역할과 책임을 지정해 신속 대응 체계를 구축했다고 설명했다.

비씨카드는 24시간 365일 보안 관제센터를 운영하고, 정기적 모의훈련과 임직원 교육을 실시한다. 또한 금융당국 및 유관기관과의 협력 체계를 유지하고 있다. 전자금융감독규정에 따라 연 1회 이상 취약점 점검을 하고, ISO27001, PCI-DSS, ISMS-P 등 인증을 통해 프로세스를 점검한다. 화이트해커를 통한 모의해킹도 정기적으로 수행해 대응 역량을 높이고 있으며, 향후에도 인력과 조직을 강화할 예정이다.

NH농협카드는 최근 3년간 보안 예산을 매년 20% 이상 늘려왔다. 현재 120명 이상의 전담 인력을 보유하고 있으며, 은행장 직속으로 정보보호부문을 두고 개인정보와 정보보안을 분리 관리한다.

롯데카드 침해 사고 이후 농협카드는 전면적인 보안 점검을 완료하고 최신 보안패치와 대응 전략을 강화했다. 또한 보안 분석실을 통해 24×365 보안 관제를 운영하며, 침해 시도 발생 시 ‘탐지-차단-분석-보고’ 등의 절차를 가동하고 있다. 이어 AI 탐지 및 자동화된 대응 체계를 도입해 위협을 즉시 차단한다. 향후에는 제로트러스트 모델과 자율 보안체계 확립에 집중할 계획이다.

현대카드는 롯데카드 침해 사고 이후 보안 모니터링을 한층 강화했다고 밝혔다. 삼성카드도 고객 정보 보호를 위해 점검과 모니터링을 강화하고 있다고 설명했다.

한편 롯데카드는 국내외 이상 금융거래에 대한 사전·사후 모니터링을 강화해 운영하고 있으며, 침해 사고로 부정 사용이 발생할 경우 선제 보상을 통해 금융소비자의 피해를 최소화할 방침이다.

글. 바이라인네트워크
<이수민 기자>Lsm@byline.network

안녕하세요, 이수민 기자입니다.
디지털 금융, 핀테크, 블록체인을 담당하고 있습니다.
찾아 주셔서 감사합니다. 좋은 기사로 보답하겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.