시중은행 대비 보안투자 1.5배 ↑ AI로 위협에는 ‘선제 탐지·대응’ 체계 고도화 최근 금융권을 겨냥한 사이버 공격이 이어지면서 인터넷전문은행들이 보안 강화에 나서고 있다. 영업점이 없어 모든 거래가 모바일·온라인으로 구조적 특성상 해킹 위험이 상대적으로 크기 때문이다. 특히 최근 금융당국도 금융사 최고정보보호책임자(CISO)들을 긴급 소집해 보안 역량 강화를 주문한 만큼 인터넷전문은행들의 관련 투자가 더욱 확대될 것이란 전망이 나온다. ◇ 인뱅 3사, IT 예산 중 보안 비중 11%… 시중은행보다 높아 13일 금융권에 따르면 지난해 말 기준 카카오뱅크·케이뱅크·토스뱅크 등 인터넷전문은행 3사의 정보기술(IT) 예산 중 정보보호 투자 비율은 각각 11.8%, 12.2%, 9.8%로 집계됐다. 평균 11.26%로 한국인터넷진흥원(KISA)에 공시된 시중은행인 신한은행(8.6%)과 국민은행(7.5%)보다 약 2~3%포인트 높은 수준이다. 인터넷전문은행의 보안 투자가 높은 이유는 영업점이 없는 대신 모든 서비스가 모바일과 온라인을 통해 이뤄지기 때문이다. 해킹이나 개인정보 유출이 곧바로 거래 중단이나 신뢰 하락으로 이어질 수 있어, 보안은 단순한 '지원 부문'이 아니라 비즈니스의 핵심 경쟁력으로 여겨진다. 한 인터넷전문은행 관계자는 "인터넷은행은 고객 접점이 모두 디지털로 이뤄지는 만큼 보안이 곧 서비스 품질로 평가된다"며 "사이버 공격에 노출되는 정도는 시중은행과 비슷하지만, 일단 사고가 발생하면 거래가 즉시 중단되는 등 피해 규모가 훨씬 크기 때문에 단순한 비용 지출이 아니라 영업 기반을 지키기 위한 필수 투자로 인식되고 있다"고 말했다. ◇ 보안이 우선… 인뱅 3사 보안 조직 세분화·전담 인력 ↑ 각사별로 살펴보면, 카카오뱅크는 정보보호 인력 비중이 전체의 9.6%에 이른다. CISO와 개인정보보호책임자(CPO)를 최고정보관리책임자(CIO)와 분리해 독립성을 확보하고, CISO를 위원장으로 하는 정보보호위원회를 정례 운영해 주요 보안 정책을 심의·의결한다. 또한 △정보보호 관리체계(ISO/IEC 27001) △개인정보보호 관리체계(ISO/IEC 27701) △클라우드 서비스 보안(ISO/IEC 27017) △클라우드 개인정보보호(ISO/IEC 27018) 등 여섯 가지 국제 인증을 취득해 국내외 인증기관의 정기 검증을 받고 있다. 내부 관리 체계도 강화되고 있다. 카카오뱅크는 전사 정보자산을 대상으로 연 1회 취약점 분석과 평가를 실시하고, 연 3회 이상 모의해킹을 수행한다. 최근에는 화이트햇(White Hat) 보안 전문가 조직과 협업해 실제 공격자 관점의 모의해킹 점검을 준비 중이며, 금융보안원과 연계한 통합보안관제센터를 통해 24시간 365일 이상 징후를 실시간 모니터링한다. 카카오뱅크 관계자는 "전 임직원을 대상으로 직군별 특성을 반영한 개인정보보호 교육을 의무화하고 있으며, 정기 교육 외에도 상시 외부 교육 참여를 장려해 정보보호 역량을 지속적으로 강화하고 있다"며 "최신 랜섬웨어 공격 사례와 대응 방안을 담은 주의 공지를 전사에 안내하는 등 보안 위협에 대한 경각심을 높이고 있다"고 말했다. 케이뱅크는 전체 직원의 절반가량이 IT 인력으로 구성돼 있고, 이 중 약 10%가 정보보호를 전담한다. 출범 첫해 은행권 최초로 PIMS 인증을 획득한 이후 ISMS-P 인증을 지속 유지하고 있으며, 금융위원회가 주관하는 정보보호 상시평가제에서도 4년 연속 최고등급(S등급)을 받았다. 내부 개인정보보호 전담 인력이 상품·서비스별 개인정보 영향평가를 상시 수행하고, 외부 전문기관과 협업해 취약점 점검과 모의해킹을 병행한다. 또한 케이뱅크는 금융보안원이 주관하는 '버그바운티'(Bug Bounty) 프로그램에 매년 참여해 외부 보안 전문가와 함께 서비스 취약점을 점검하고 있다. 고객정보 분리보관 및 파기 시스템 개선, 외부 전문업체의 개인정보 관리현황 점검 등도 병행하고 있다. 토스뱅크는 보안 기능을 독립된 조직인 '시큐리티 디비전'(Security Division)이 전담한다. 이 조직은 보안전략, 개인정보보호, 사이버보안, 보안엔지니어링, 내부 감사 등으로 세분화돼 있으며, 전체 IT 인력의 8.3%가 보안을 담당한다. 금융권과 ICT 분야에서 경력을 쌓은 보안 전문가 CISO가 전사 보안 전략을 총괄하고 있다. 토스뱅크는 ISO/IEC 27001, ISO/IEC 27701, ISMS-P, PCI-DSS 등 주요 국제 인증을 모두 자체 역량으로 취득했으며, 지난해 자체 개발한 취약점 진단·관리 시스템과 자동화된 사고 대응 체계를 기반으로 인터넷전문은행 중 최초로 과학기술정보통신부 장관상이 수여되는 '정보보호 대상'을 수상했다. ◇"경고등 켜진 금융보안"… 인뱅, 차세대 보안 체계로 대응 인터넷전문은행들의 보안 강화 움직임은 앞으로도 이어질 것으로 전망된다. 지난달 금융당국이 전 금융권 CISO들과 긴급 회의를 열고, 사이버 위협에 대한 경각심을 높여 보안 체계를 전사적으로 강화해달라고 주문한 영향이다. 이에 따라 인터넷전문은행들도 인공지능(AI) 기반 이상행위 탐지, 개인정보 자동 분류 및 비식별화, 오픈소스·공급망 취약점 관리 강화 등 차세대 보안 기술을 중심으로 투자를 더욱 확대한다는 구상이다. 카카오뱅크는 금융보안원 등 외부 기관과 협력해 지능형 보안 침해 대응 체계를 구축하고, 자체 개발한 보안통합분석시스템을 통해 내·외부 시스템 로그를 실시간 분석하는 등 '제로 트러스트'(Zero Trust) 전략을 중장기적으로 추진할 계획이다. 케이뱅크는 AI 시대에 맞는 개인정보 관리체계를 고도화하고 자동화된 개인정보 라이프사이클 관리 시스템을 구축할 예정이다. 데이터 가명처리 및 익명화 시스템을 고도화해 정보 활용성과 보안성을 동시에 강화하는 것이 목표다. 토스뱅크는 AI 기반 탐지와 자동화된 대응 체계를 확대해 실시간 위협 차단 능력을 높이는 동시에, 신규 서비스 기획 단계부터 보안 요구사항을 반영하는 '시큐어 바이 디자인'(Secure by Design) 문화를 정착시킨다는 방침이다. 토스뱅크 관계자는 "모든 임직원이 보안의 이해자이자 책임자라는 인식을 바탕으로 조직 전반의 보안 수준을 지속적으로 높이고 있다"며 "AI 기반 탐지 시스템과 자동화된 대응 체계를 통해 신속하고 정밀한 보안 관리가 이뤄지도록 하겠다"고 말했다. 유진아 기자 gnyu4@dt.co.kr

잇다른 금융권 해킹 피해에… ‘비대면 은행’ 인뱅, 보안 투자 ‘쑥’

유진아 기자

입력 2025-10-13 14:53

수정 2025-10-13 18:23

13면 지면 TOP

추천해요 0
좋아요 0
감동이에요 0
화나요 0
슬퍼요 0

읽기모드
음성지원
다크모드
폰트크기
- 가
- 가
- 가
- 가
- 가
- 가
북마크
공유하기
프린트
기사반응

시중은행 대비 보안투자 1.5배 ↑

AI로 위협에는 ‘선제 탐지·대응’ 체계 고도화

최근 금융권을 겨냥한 사이버 공격이 이어지면서 인터넷전문은행들이 보안 강화에 나서고 있다. 영업점이 없어 모든 거래가 모바일·온라인으로 구조적 특성상 해킹 위험이 상대적으로 크기 때문이다. 특히 최근 금융당국도 금융사 최고정보보호책임자(CISO)들을 긴급 소집해 보안 역량 강화를 주문한 만큼 인터넷전문은행들의 관련 투자가 더욱 확대될 것이란 전망이 나온다.

◇ 인뱅 3사, IT 예산 중 보안 비중 11%… 시중은행보다 높아

13일 금융권에 따르면 지난해 말 기준 카카오뱅크·케이뱅크·토스뱅크 등 인터넷전문은행 3사의 정보기술(IT) 예산 중 정보보호 투자 비율은 각각 11.8%, 12.2%, 9.8%로 집계됐다. 평균 11.26%로 한국인터넷진흥원(KISA)에 공시된 시중은행인 신한은행(8.6%)과 국민은행(7.5%)보다 약 2~3%포인트 높은 수준이다.

인터넷전문은행의 보안 투자가 높은 이유는 영업점이 없는 대신 모든 서비스가 모바일과 온라인을 통해 이뤄지기 때문이다. 해킹이나 개인정보 유출이 곧바로 거래 중단이나 신뢰 하락으로 이어질 수 있어, 보안은 단순한 '지원 부문'이 아니라 비즈니스의 핵심 경쟁력으로 여겨진다. 한 인터넷전문은행 관계자는 "인터넷은행은 고객 접점이 모두 디지털로 이뤄지는 만큼 보안이 곧 서비스 품질로 평가된다"며 "사이버 공격에 노출되는 정도는 시중은행과 비슷하지만, 일단 사고가 발생하면 거래가 즉시 중단되는 등 피해 규모가 훨씬 크기 때문에 단순한 비용 지출이 아니라 영업 기반을 지키기 위한 필수 투자로 인식되고 있다"고 말했다.

◇ 보안이 우선… 인뱅 3사 보안 조직 세분화·전담 인력 ↑

각사별로 살펴보면, 카카오뱅크는 정보보호 인력 비중이 전체의 9.6%에 이른다. CISO와 개인정보보호책임자(CPO)를 최고정보관리책임자(CIO)와 분리해 독립성을 확보하고, CISO를 위원장으로 하는 정보보호위원회를 정례 운영해 주요 보안 정책을 심의·의결한다. 또한 △정보보호 관리체계(ISO/IEC 27001) △개인정보보호 관리체계(ISO/IEC 27701) △클라우드 서비스 보안(ISO/IEC 27017) △클라우드 개인정보보호(ISO/IEC 27018) 등 여섯 가지 국제 인증을 취득해 국내외 인증기관의 정기 검증을 받고 있다.

내부 관리 체계도 강화되고 있다. 카카오뱅크는 전사 정보자산을 대상으로 연 1회 취약점 분석과 평가를 실시하고, 연 3회 이상 모의해킹을 수행한다. 최근에는 화이트햇(White Hat) 보안 전문가 조직과 협업해 실제 공격자 관점의 모의해킹 점검을 준비 중이며, 금융보안원과 연계한 통합보안관제센터를 통해 24시간 365일 이상 징후를 실시간 모니터링한다.

카카오뱅크 관계자는 "전 임직원을 대상으로 직군별 특성을 반영한 개인정보보호 교육을 의무화하고 있으며, 정기 교육 외에도 상시 외부 교육 참여를 장려해 정보보호 역량을 지속적으로 강화하고 있다"며 "최신 랜섬웨어 공격 사례와 대응 방안을 담은 주의 공지를 전사에 안내하는 등 보안 위협에 대한 경각심을 높이고 있다"고 말했다.

케이뱅크는 전체 직원의 절반가량이 IT 인력으로 구성돼 있고, 이 중 약 10%가 정보보호를 전담한다. 출범 첫해 은행권 최초로 PIMS 인증을 획득한 이후 ISMS-P 인증을 지속 유지하고 있으며, 금융위원회가 주관하는 정보보호 상시평가제에서도 4년 연속 최고등급(S등급)을 받았다. 내부 개인정보보호 전담 인력이 상품·서비스별 개인정보 영향평가를 상시 수행하고, 외부 전문기관과 협업해 취약점 점검과 모의해킹을 병행한다.

또한 케이뱅크는 금융보안원이 주관하는 '버그바운티'(Bug Bounty) 프로그램에 매년 참여해 외부 보안 전문가와 함께 서비스 취약점을 점검하고 있다. 고객정보 분리보관 및 파기 시스템 개선, 외부 전문업체의 개인정보 관리현황 점검 등도 병행하고 있다.

토스뱅크는 보안 기능을 독립된 조직인 '시큐리티 디비전'(Security Division)이 전담한다. 이 조직은 보안전략, 개인정보보호, 사이버보안, 보안엔지니어링, 내부 감사 등으로 세분화돼 있으며, 전체 IT 인력의 8.3%가 보안을 담당한다. 금융권과 ICT 분야에서 경력을 쌓은 보안 전문가 CISO가 전사 보안 전략을 총괄하고 있다.

토스뱅크는 ISO/IEC 27001, ISO/IEC 27701, ISMS-P, PCI-DSS 등 주요 국제 인증을 모두 자체 역량으로 취득했으며, 지난해 자체 개발한 취약점 진단·관리 시스템과 자동화된 사고 대응 체계를 기반으로 인터넷전문은행 중 최초로 과학기술정보통신부 장관상이 수여되는 '정보보호 대상'을 수상했다.

◇"경고등 켜진 금융보안"… 인뱅, 차세대 보안 체계로 대응

인터넷전문은행들의 보안 강화 움직임은 앞으로도 이어질 것으로 전망된다. 지난달 금융당국이 전 금융권 CISO들과 긴급 회의를 열고, 사이버 위협에 대한 경각심을 높여 보안 체계를 전사적으로 강화해달라고 주문한 영향이다.

이에 따라 인터넷전문은행들도 인공지능(AI) 기반 이상행위 탐지, 개인정보 자동 분류 및 비식별화, 오픈소스·공급망 취약점 관리 강화 등 차세대 보안 기술을 중심으로 투자를 더욱 확대한다는 구상이다.

카카오뱅크는 금융보안원 등 외부 기관과 협력해 지능형 보안 침해 대응 체계를 구축하고, 자체 개발한 보안통합분석시스템을 통해 내·외부 시스템 로그를 실시간 분석하는 등 '제로 트러스트'(Zero Trust) 전략을 중장기적으로 추진할 계획이다.

케이뱅크는 AI 시대에 맞는 개인정보 관리체계를 고도화하고 자동화된 개인정보 라이프사이클 관리 시스템을 구축할 예정이다. 데이터 가명처리 및 익명화 시스템을 고도화해 정보 활용성과 보안성을 동시에 강화하는 것이 목표다.

토스뱅크는 AI 기반 탐지와 자동화된 대응 체계를 확대해 실시간 위협 차단 능력을 높이는 동시에, 신규 서비스 기획 단계부터 보안 요구사항을 반영하는 '시큐어 바이 디자인'(Secure by Design) 문화를 정착시킨다는 방침이다.

토스뱅크 관계자는 "모든 임직원이 보안의 이해자이자 책임자라는 인식을 바탕으로 조직 전반의 보안 수준을 지속적으로 높이고 있다"며 "AI 기반 탐지 시스템과 자동화된 대응 체계를 통해 신속하고 정밀한 보안 관리가 이뤄지도록 하겠다"고 말했다.

유진아 기자 gnyu4@dt.co.kr