[123RF]

[헤럴드경제=이태형 기자]금융사들의 디지털 및 플랫폼화 추세 속에서 빅데이터·마이데이터 등 신규 사업을 추진하면서 최근 개인 정보 노출되는 사례가 빈발하고 있다. 금융 소비자보호 수준은 여전히 미흡한 상황에서 사업 확장을 추진하면서 개인 정보를 비롯한 금융 소비자보호의 중요성은 더 커지는 형국이다.

금융감독원이 올해초 발표한 금융소비자보호 실태평가에서 조사대상 26개사 중 3개사만이 양호한 것으로 나타났다.

금감원의 실태평가는 최근 발생한 개인 정보 유출과 같은 구체적인 항목보다는 금융사의 소비자보호 전담조직, 상품개발 관련 소비자보호 체계 및 상품판매 관련 소비자보호 체계 등 내부통제체계 운영실태를 중점 평가했다.

그럼에도 종합등급 ‘우수’ 회사는 없었고, ‘양호’ 회사는 2020년 대비 7개사 줄었다. 금융소비자보호법 시행 등에 따른 평가 강화, 사모펀드 사태·증권거래 증가 등으로 인한 민원 증가, 검사결과 중징계 조치를 감안한 종합등급 하향 조정 등이 원인으로 꼽힌다.

소비자보호 장치가 아직 미흡한 상황에서 최근의 개인 정보 노출 사고가 발생하는 데는 여러 금융사가 자체 또는 공동으로 제공하는 플랫폼을 통해 초개인화 서비스를 출시하고 있기 때문으로 풀이된다.

디지털 전환(Digital Transformation)으로 업무 자동화를 구축하고 대고객 업무에서 효율성과 정확성을 높이고 있지만, 자동화 오류, 취약점 증가, 관리 실패, 대안 부재 등의 문제가 발생하고 있다.

지난해 11월 김병욱 의원이 발의한 전자금융거래법 개정안은 리스크에 비례한 자율적 보안을 위해 원칙 중심의 규제(Principles-based regulation)를 선언하고, 금융보안 거버넌스 확립을 위한 이사회의 책무, 금융보안계획 수립.제출 의무, 금융보안 규제 개선·합리화를 위한 금융보안 상시평가제 도입, IT아웃소싱 규제 강화 등의 내용을 포함하고 있다.

현행 금융보안 규제가 사전에 정의된 일률적이고 세세한 통제항목 중심이었다면, 개정안은 자율적인 금융보안 강화를 강조하고 있어 법 개정 시 하위 법규에도 많은 변화가 예상된다. 금융사 스스로 리스크를 평가하고 적합한 금융보안 대책을 설계·실행·개선해 나가는 역량을 확보해야 할 필요성이 커지는 셈이다.

금융보안원 관계자는 “시스템 설계 시 업무 담당자의 참여를 통해 구체적이면서도 단순한 업무 로직을 마련하고, 시스템 구현 과정에서는 발생 가능한 모든 상황을 최대한 분석하고 필요한 안전장치를 구축해야 한다”고 조언했다.

또 “시스템 구축 이후에는 업무 처리 과정을 지속적으로 모니터링하면서 장애 발생 시에도 사전에 마련된 안전장치와 대체 방안 등을 통해 업무 공백 등의 피해를 최소화할 필요가 있다”고 덧붙였다.

앞으로 발생할 수 있는 해킹 공격을 차단하기 위해 사전적으로 금융사 플랫폼의 다변화에 따른 체계적 대응이 필요하다는 지적도 제기된다.

초개인화 금융서비스는 양질의 개인정보를 다량 보유하고 있어 공격 대상이 되기 쉬운 만큼 마이데이터 플랫폼이나 API 연계 지점 등을 노리는 공격이 증가할 것으로 예상된다.

금융업계 IT 담당자는 “금융사는 금융 플랫폼의 관문이 되는 API의 보안 강화와 함께 공격자 관점의 플랫폼 공격 시나리오와 TTP(전술·기술·절차) 분석 등 고도의 인텔리전스 역량을 갖추기 위해 역량을 모으고 있다”고 말했다.

[123RF]