최근 카드업계가 초비상에 걸렸습니다. 297만 명의 고객 정보가 유출된 롯데카드 사태 이후, 또 다른 대형 보안사고가 터질 수 있다는 우려가 제기되고 있기 때문입니다.
문제는 단순히 한 회사의 이슈가 아니라, 카드업계 전반이 수익성 악화 속에서 정보보호 인력과 예산을 줄여온 구조적 문제에 있다는 점입니다.
카드사 정보보호 인력, 2년 새 급감
금융감독원 자료에 따르면, 국내 8개 전업 카드사의 IT 부문 인력 대비 정보보호 인력 비중은 지난해 11.1%로, 2022년 대비 1.0%포인트 하락했습니다.
특히 롯데카드의 경우 2022년 24.6%에서 2023년 13.3%로 무려 11.3%포인트나 급락했으며, 현대카드와 삼성카드 역시 5%포인트 이상 줄었습니다.
| 롯데카드 | 24.6% | 13.3% | ▼11.3%p |
| 현대카드 | 24.7% | 13.9% | ▼10.8%p |
| 삼성카드 | 21.3% | 14.2% | ▼7.1%p |
| 신한카드 | 8.9% | 8.2% | ▼0.7%p |
정보보호 예산도 축소
인력만 줄어든 것이 아닙니다. 정보보호 예산 역시 감소했습니다.
- 신한카드: 9.3% → 8.2%
- KB국민카드: 9.2% → 8.5%
- 삼성카드: 8.7% → 8.6%
- 현대카드: 10.4% → 10.0%
롯데카드도 2021년 12%에서 2023년 8%로 줄었습니다.
이는 곧 보안 강화보다는 단기 수익성 확보를 우선시한 결과라 할 수 있습니다.
뒤늦은 대응, 충분할까?
최근 카드사들은 보안사고 재발을 막기 위해 부랴부랴 대응에 나섰습니다.
- 하나카드: 보안사고 대응 매뉴얼 마련
- 신한카드: 침입 방지 시스템 모니터링 강화
- KB국민카드: 개인정보 침해사고 대응반 운영
- 비씨카드: 화이트해커 모의해킹 훈련
캐피털사도 예외가 아니며, KB캐피탈·현대캐피탈 등이 통합인증 시스템과 모의해킹 훈련을 확대하고 있습니다.
근본적 문제: CISO 독립성 부족
업계에서는 최고정보보호책임자(CISO)의 독립성이 보장되지 않는 점도 큰 문제로 지적됩니다. 8개 카드사 중 전임 CISO를 둔 곳은 신한카드뿐이며, 대부분 CFO나 CIO가 겸임 중입니다. 이는 보안보다는 비용 절감 논리가 우선될 수밖에 없는 구조적 한계입니다.
머니메신저의 시각
보안은 ‘비용’이 아니라 ‘투자’입니다. 단기적으로는 지출처럼 보이지만, 한번 사고가 터지면 수십만~수백만 고객 정보 유출로 이어지고, 이는 곧 기업 신뢰도와 브랜드 가치 하락으로 직결됩니다.
특히 금융산업은 고객 신뢰가 곧 생명입니다. ‘제2의 롯데카드’ 사태를 막기 위해서는 보안 인력 확충·예산 확대·CISO 독립성 보장이 시급합니다. 지금처럼 땜질식 대응으로는 근본적 문제를 해결하기 어렵습니다.
앞으로 소비자들도 금융상품 선택 시, 금리나 혜택뿐 아니라 해당 금융사의 보안 역량을 중요한 기준으로 삼아야 할 것입니다.
#롯데카드 #개인정보유출 #카드사보안 #정보보호 #사이버보안 #CISO #금융보안 #신용카드 #해킹 #보안투자