북한 해커 조직이 최근 한국 금융 보안프로그램을 잇따라 공격하고 있는 가운데 국내 5대 은행 대부분이 사이버 보안 등 정보보호 투자 내용을 공시하지 않고 있는 것으로 확인됐다. 정보보호 시스템 구축이 ESG(환경·사회·지배구조) 경영의 주요 평가 항목인 점을 고려해 관련 공시를 더욱 활성화해야 한다는 전문가 지적이 나온다.
23일 과학기술정보통신부와 한국인터넷진흥원(KISA) 등에 따르면 KB국민·신한·하나·NH농협은 정보보호 공시제도가 시행된 2016년 이후 지금까지 한 번도 관련 투자 내용을 공시하지 않고 있다. 매년 꾸준히 공시해 온 우리은행과 차이가 있다. 우리은행은 작년 4월 정보보호 부문에 405억원을 투자했다고 공시했다. 보안 인력은 내부 27명, 외주 50명으로 총 77명이다. 우리은행은 자체 모의해킹 대회를 개최하고 대응훈련도 했다.
관련 공시를 하지 않은 은행들의 사업보고서에는 정보보호 조치가 미흡해 정부 당국의 지적을 받은 사안도 다수 확인됐다. 금융감독원은 작년 12월 KB국민은행 임원에게 견책 처분을 내렸다. 신용정보 전산시스템에 대한 보안대책을 수립해야 하는 의무를 위반했다는 이유다.
2021년에 이어 두 번째다. 하나은행도 보안대책 수립 시행 의무 위반으로 작년 9월 2400만원의 과태료 처분을 받았다. 신한은행 부행장과 상무도 정보처리 시스템 전산망 분리를 하지 않아 2021년 2월 견책을 받았다.
정보보호 공시제도는 2015년 12월 도입됐다. 기업이 정보보호 투자, 인력, 인증, 활동 등을 공개하도록 하는 제도다. 정보보호 측면에서 이용자의 알 권리를 보장하기 위해서다. 객관적인 기업 선택 기준을 제시하고 정보보호를 기업경영의 중요 요소로 포함해 자발적인 투자를 유도하는 것이 도입 취지다. 정보보호는 ESG의 주요 평가 항목 중 하나다. 산업통상자원부의 K-ESG 가이드라인에 따르면 정보보호 시스템 구축은 최대 100점의 가산점이 붙는 주요 항목이다. 개인정보 보호 관련 법 위반 시에는 최대 50점 감점되기도 한다.
송민경 한국ESG기준원 선임연구위원은 “사회 평가 항목 중에 정보보호와 개인정보 침해사고 예방의 중요도 높아지는 것은 세계적으로 확인되는 흐름”이라고 했다. 이어 “5대 금융사가 한국 사회에서 차지하는 비중을 고려하면 정보보호 공시를 충실하게 할 필요가 있고 금융 소비자는 이를 참고해 금융 소비와 투자에 활용할 수 있어야 한다”고 지적했다.
김진원 기자
관련뉴스