김대웅 웰컴저축은행 대표, 정보보호 공시 ‘선도적 강화’ [저축은행 정보보호 돋보기 (3)]

[한국금융신문 김다민 기자] 최근 금융권에서 해킹 사고로 인해 대규모 개인정보 유출 사태가 속출하고 있다. 많은 금융사들이 디지털화를 이뤄낸 상황에서 기존에는 제1금융권에 공격이 집중돼 왔다.

그러나 최근 비교적 보안이 취약한 제2금융권에 사이버 공격이 집중되고 있다. 이같은 상황에서 저축은행들이 고객들의 정보보호를 위해 어떠한 노력을 기울이고 있는지 살펴본다. <편집자주> 웰컴저축은행(대표이사 김대웅닫기김대웅기사 모아보기)이 국내 저축은행 중 유일하게 정보보호 현황을 공시하고, 지난해 정보보호 투자액을 전년 대비 19.5% 늘리며 금융보안 강화에 적극적으로 힘쓰고 있다.

회사는 향후 안정적인 디지털 금융 서비스를 제공하기 위해 정보보호 역량을 지속적으로 강화해 나갈 계획이다.
웰컴저축은행은 국내 저축은행권에서 유일하게 한국인터넷진흥원(KISA)이 공개하는 정보보호 공시에 지난 2024년부터 자발적으로 공시를 시행하고 있다.

KISA가 지정하는 의무 대상이 아님에도, 실제 투자액·비율·활동 내역을 모두 투명하게 공개하고 있다는 점에서 업계에 건전한 공시 문화 확산에도 기여하고 있다.

해당 공시에 따르면 지난해 웰컴저축은행은 정보기술부문 투자액 총 174억9657만원 중 15%에 해당하는 26억1936만원을 정보보호 부문에 투자했다. 이는 지난 2023년(21억9132만원) 대비 19.5%가량 늘어난 규모다.

저축은행업권에 따르면 웰컴저축은행이 올해 정보보호 예산을 18억원 수준으로 줄인 것으로 알려졌다.

그러나 최근 발생하는 해킹사건이 그간 제1금융권에서 주로 일어났었지만, 상대적으로 보안이 취약한 제2금융권에서 일어나고 있다는 점을 고려했을 때 내년 정보보호 강화를 위한 예산은 증가할 것으로 점쳐진다.

특히, 웰컴저축은행이 속해있는 웰컴금융그룹이 지난 8월 러시아 해커의 랜섬웨어 공격을 받아 일부 계열사가 해킹 피해를 받은 바 있다. 다만, 주요 계열사인 웰컴저축은행은 금융그룹과 분리된 별도 망을 이용하고 있어 이번 해킹 사고에서는 피해갔다. 또한, 웰컴금융그룹 측에 따르면 내부 문건에 대한 해킹만 이뤄졌으며, 고객정보에 대한 피해사실은 없다는 입장이다.

웰컴저축은행은 고객 정보보호를 위해 사내에서 꾸준히 정보보호 활동을 진행하고 있다.

실제로, 공시에 따르면 지난해 회사는 총 24건에 달하는 정보통신서비스를 이용하는 자의 정보보호를 위한 활동을 진행했다. 크게 ▲정보보호 투자 활성화 실적 및 정보보호 관련 활동 ▲임직원의 정보보호 인식제고 교육 및 지원 ▲정보보호 전담인력 관리 활동 ▲이용자 정보보호 인식 제고활동 등을 진행했다.

정보보호 솔루션 고도화는 총 3건 이뤄졌다. 악성코드 메일 솔루션과 데이터손실방지(DLP) 솔루션, 네트워크 접근 제어(NAC) 솔루션 등 총 세 건이다. 이와 동시에 신규 서비스에 대한 보안성 평가와 보안성 심의를 수행했으며, 모바일 웹/앱, 홈페이지 모의해킹을 2회 진행했다.
이러한 노력을 인정받아 지난해 정보보호 상시평가 S등급을 받았으며, 꾸준히 정보보호 관리체계(ISMS) 인증을 받아왔다. 특히, ISMS 인증의 경우 저축은행 업권에서 유일하게 웰컴저축은행이 취득해 지난 2017년부터 3회 연속 갱신 및 취득했다.

ISMS 인증은 정보통신망의 안전성 확보를 위하여 수립·운영하고 있는 기술적·물리적 보호조치 등 종합적인 관리체계에 대해 인증기준에 적합함을 인증기관이 증명하는 제도다.

정보통신망법과 개인정보보호법을 근거로 하며 한국정보통신진흥협회(KAIT)와 한국정보통신기술협회(TTA), 개인정보보호협회(OPA)가 인증심사를 수행한다. ISMS 인증을 획득한 기업은 해킹 및 개인정보 유출 사고 발생 시 신속하게 대응할 수 있는 기업으로 평가한다.

웰컴저축은행의 내부통제는 이사회 내 소위원회인 감사위원회가 맡아 관리하고 있다. 웰컴저축은행 경영공시에 따르면 감사위원회가 내부통제 전담 조직으로, 경영진과 독립된 위치에서 종합, 특별, 일상 감사를 수행한다.

감사위원회는 내부통제 강화를 위한 업무체계를 확립하고, 금융사고 예방 위주로 감사를 진행한다. 또한, 제·규정 이행사항도 점검한다. 웰컴저축은행 감사위원회는 올해 종합감사와 특별감사를 포함해 41회의 감사를 진행했다. 감사는 부서와 팀, 지점 등의 단위로 내부통제 등 업무 전반 등의 내용으로 이뤄졌다.

다만, 지배구조법 개정에 따라 내년 주주총회일까지 내부통제위원회를 신설해야 한다. 신설하는 내부통제위원회는 대표이사와 금융소비자보호책임자(CCO), 준법감시인, 위험관리책임자(CRO), 대표이사가 정하는 사내 임원 등이 포함돼야 한다. 현재 웰컴저축은행은 내부통제위원회와 금융소비자보호 내부통제위원회를 신설해 운영 중에 있다.

이와 동시에 웰컴저축은행은 자산 규모가 7000억원 이상으로, 내년 7월까지 책무구조도를 제출해야 한다. 책무구조도는 내부통제 책임을 명확히 하기 위해 도입되는 것으로, 임원별로 담당 영역이 구체적으로 구분돼 경영진의 통제 의무가 강화된다.

이를 위해 웰컴저축은행은 책무구조도 도입을 위해 저축은행중앙회가 지난 6월 발족한 태스크포스에(TF)에도 참여했다. 해당 TF를 통해 저축은행은 공통으로 표준안을 마련할 계획이다.

다만, 같은 대형사로 불리는 SBI저축은행이 조기 도입을 위해 지난 5월 컨설팅 업체로부터 관련 자문을 구하고 있다. 이에 웰컴저축은행도 표준안 제작 이후 회사의 상황에 맞게 변형해 도입할 것으로 예상된다.

이러한 내부통제 강화를 통해 최근 5년간 금융당국으로부터 단 한 건의 징계도 받지 않았다. 대형사일수록 금융당국의 검사 대상으로 자주 선정되고, 취급하는 대출이 많아 징계 건수가 많은 것이 일반적이다.

그러나, 웰컴저축은행은 지난 6월 말 자산 기준 업계 4위에 달하는 대형사임에도 불구하고 징계가 없다는 것은 내부통제가 효과적으로 이루어지고 있다고 평가할 수 있다.

웰컴저축은행은 향후 금융소비자보호를 위해 자체 전산의 보안과 내부통제를 지속적으로 강화해 금융사고를 예방할 계획이다.

김다민 한국금융신문 기자 dmkim@fntimes.com