[챗GPT를 이용해 제작함]

[헤럴드경제=유혜림 기자] #. 최근 국내 A은행의 정보보호최고책임자(CISO)는 디지털자산 신사업 검토 자료에 개인정보보호 대응까지 동시에 챙기느라 분주하다. 금융권의 화두가 된 스테이블코인과 AI 에이전트 등 사내 AX 전환 사업을 준비하는 동시에 오는 9월 한층 강화된 개인정보보호법 대응책도 마련해야 해서다. 그는 “디지털 신사업으로 관리해야 할 보안 영역은 폭발적으로 늘어났는데 해킹 기술은 갈수록 고도화되고 있다”며 “과징금은 물론 경영진 책임까지 강화되니 부담감이 상당하다”고 토로했다.

오는 9월부터 중대한 개인정보 유출 사고를 낸 기업에 대해 매출액의 최대 10%를 과징금으로 부과하는 개인정보보호법 개정안이 시행되면서 금융권의 긴장감이 커지고 있다. 과징금 규모가 3배 확대된 데다 정보보호가 이사회 책임 영역으로 강화되고 있다. 특히 디지털자산과 AI 등 신사업을 확대할수록 개인정보 보호와 보안 부담도 함께 커지고 있다.

▶조단위 과징금에 떠는 금융권=25일 금융권에 따르면, 최근 개인정보보호위원회는 은행 등에 개인정보보호법 시행령 개정안 주요 내용을 안내하는 공문을 발송한 것으로 확인됐다. 개정안에는 ▷개인정보보호책임자(CPO) 이사회 의결 및 신고 의무 구체화 ▷개인정보 보호 인증 의무 대상기관 기준 마련 ▷개인정보 유출 통지·신고 제도 정비 등의 내용이 담겼다.

오는 9월 11일 시행되는 개정 개인정보보호법은 최근 3년 내 고의·중과실에 따른 개인정보 유출 사고가 반복됐거나 고의·중과실로 1000만명 이상 정보주체에게 피해를 발생시킨 경우 관련 매출액의 최대 10%까지 과징금을 부과할 수 있도록 했다. 기존 과징금 상한이 관련 매출액의 3%였던 점을 고려하면 제재 수위가 최대 3배 이상 강화되는 셈이다. 한 은행 관계자는 “매출액의 10%까지 커지면서 산술적으로 조(兆) 단위 과징금도 나올 수 있다는 얘기”라고 말했다.

이사회 책임까지 연결되는 경영 리스크로도 부상하고 있다. 그간 실무자인 CPO(최고개인정보보호책임자)에게만 한정되던 개인정보 관리·감독 책임을 CEO(최고경영자)에게도 부과하도록 명문화한 것이다. 또 CPO가 개인정보 보호에 필요한 전문 인력 관리, 예산 확보 업무를 수행하도록 하고 대표자와 이사회에 개인정보 보호 관련 사항을 보고해야 한다.

▶AI·양자·디지털자산까지 덮친 보안 전쟁=은행권이 이번 개정안에 유독 민감하게 반응하는 배경에는 디지털 신사업의 급속한 확산이 있다. 최근 은행들은 원화 스테이블코인과 토큰증권(ST), 디지털자산 수탁, 생성형 AI 기반 금융서비스 등 데이터 활용도가 높은 신사업을 잇달아 추진하고 있다. 문제는 신사업이 늘어날수록 관리해야 할 개인정보와 보안 영역도 함께 확대된다는 점이다.

한 금융권 관계자는 “원래 하던 해킹·개인정보 보호에 더해 디지털자산, AI 에이전트, 클라우드, 양자컴퓨팅 대응 등 새로운 챕터가 한꺼번에 생긴 셈”이라며 “어디서 어떤 사고가 발생할지 예측하기 어려운 상황”이라고 말했다. 또 개인정보 사고 발생 시 CEO와 이사회 책임까지 연결될 수 있다 보니 신사업 경쟁에 속도를 내는 데도 부담을 느끼고 있다고 했다.

아울러 생성형 AI 등장 이후 보안 위협 양상 마저 바뀌면서 대응 난도도 높아졌다고 입을 모았다. 한 은행 CPO는 “예전엔 취약점 발견부터 공격까지 3개월 걸렸다면 지금은 10분이면 된다”고 표현했다. 생성형 AI 등장 이후 공격자의 생산성이 급격히 높아지면서 기존 보안 체계만으로는 대응이 갈수록 어려워지고 있다는 것이다. 보안 패치 이전에 공격이 이뤄지는 사례가 늘어날 수 있다는 점도 짚었다.

한 업계 관계자는 “원화 스테이블코인과 글로벌 결제, AI, 클라우드 등 해외 사업자와 협력이 필수적인 신사업의 경우 계약 구조와 개인정보 처리 절차를 전면 재점검해야 할 것”이라고 말했다. 또 법무법인 최선의 이준상 변호사는 “그동안 신용정보법은 개인정보보호법 개정에 맞춰 지속적으로 강화돼 왔다”며 “향후 두 법 간 제재 수준 차이가 지나치게 벌어질 경우 신용정보법 개정 논의가 뒤따를 가능성도 있다”고 말했다.

▶은행권 AI 보안·전문인력 확보전=이렇다 보니 금융권은 개인정보 보호 투자를 강화하며 만일의 과징금 제재에 대비해 감경 요건을 갖추는 데도 공을 들이고 있다. 이번 개정안에는 개인정보 보호를 위해 예산·인력·설비 등에 지속적으로 투자한 기업에는 과징금을 최대 40%까지 감경해준다는 내용도 담겼다. 또 이찬진 금융감독원장은 지난 22일 기자간담회에서 금융회사의 정보보안 통제 이행 수준에 따라 제재를 차등화하겠다는 방침도 밝혔다. 사전 예방 및 사후 피해 확산 조치를 다한 금융사에는 제재 감경 인센티브를, 형식적 이행이나 유사 사고 재발 시에는 가중 처벌을 예고한 상태다.

이에 주요 은행들은 AI 기반 보안 체계 구축과 전문인력 확보에 열을 올리고 있다. 신한은행은 정보보호본부와 테크(Tech)그룹이 공동 대응 태스크포스(TF)를 꾸려 자산관리와 제로트러스트, 자율보안 수준 진단 체계 마련에 착수했다. 이달엔 모의해킹 기반 보안 탐지체계 검증을 담당하는 ‘퍼플(Purple)팀’을 비롯해 클라우드 보안, 보안 인프라 아키텍트 등 정보보호 분야 경력직 채용에도 나섰다.

KB국민은행은 올해 ‘그룹 사이버 보안센터’를 신설하고 AI 기반 취약점 점검 체계를 구축했다. 하나은행은 AI·클라우드 보안 전문인력을 신규 채용하고 AI 기반 지능형 보안 체계 전환을 추진 중이다. 기존 장비에 대한 패치나 노후장비 교체도 중점 투자하겠다는 방침이다. 우리은행 역시 정보보호 인력을 꾸준히 늘리며 AI 기반 침해대응 체계 고도화에 나서고 있다.

실제 정보보호 예산도 증가 추세다. KB국민은행의 정보보호 예산은 2024년 약 425억원에서 지난해 433억원으로 늘었고, 우리은행도 400억원대 보안 투자를 이어가고 있다. 은행 관계자는 “미토스 AI 관련 새로운 보안 위협 트렌드에 신속 대응하기 위해 외부 노출 자산에 대한 취약점 탐지·대응 역량을 강화하는 중”이라고 말했다.