“과거엔 사고가 나서 물러난단 생각은 못 했는데, 요즘은 그럴 수도 있겠단 생각이 든다.”
대형 금융지주사 계열 한 최고경영자(CEO)의 고백이다. 취업 청탁이나 횡령 사건 등 불법행위에 국한됐던 CEO 책임론이 이제는 사이버 보안으로 옮겨붙고 있다. 하루가 멀다 하고 터지는 해킹 사고 앞에서 더이상 경영진이 뒷짐 지고 있을 수 없다는 자각이 확산하고 있다.
최근 해킹은 업종의 경계를 가리지 않는다. SK텔레콤과 KT 같은 대형 통신사부터 보험사(SGI서울보증), 카드사(롯데카드)에 이르기까지 다양한 영역에서 사고가 터졌다. 시도는 늘 있었지만 최근 들어 그 양상은 더욱 고도화되고 교묘해졌다. SK텔레콤은 침해 사실을 3년 만에 알았고, 롯데카드는 2주일이 지나서야 해킹을 인지하고 신고했다.
보안은 기업 경쟁력의 핵심 가치가 되고 있다. 삼성전자는 연초 CES 2025에서 화려한 외형 대신 자체 보안 솔루션 ‘녹스’(Knox)를 전면에 내세웠다. 핀테크 업계도 마찬가지다. 토스는 세계 최고 수준의 화이트해커팀을 내부 자산으로 자랑하고, 카카오뱅크와 케이뱅크도 정보보호 전문 인재 확보에 적극적이다. 반면 전통 금융권은 여전히 사이버 보안이 “본연의 업무가 아니”라는 태도에서 벗어나지 못하고 있다.
해킹 사건은 단순 사고 한 건의 크기를 넘어선다. 랜섬웨어 공격으로 결제 시스템이 멈추거나 대규모 고객 데이터가 빠져나가면 그 피해는 단순 전산장애에 비할 수 없다. 불편의 문제가 아니라 신뢰 붕괴이자 금융 시스템 안정성 위기다. 하지만 대형 금융사는 아직 해킹을 보안부서나 외주업체의 문제로 국한하며 CEO와 이사회는 책임의 바깥에 서 있는 듯 보인다.
해외는 달라졌다. 유럽연합(EU)은 사이버 보안을 ‘시스템 리스크’로 규정하고, CEO와 이사회가 직접 감독·책임을 지도록 명문화했다. 사고 대응과 보고 체계, 보안 투자까지 경영진이 책임지며, 불이행 시 전 세계 매출의 일정 비율에 해당하는 벌금을 부과한다.
미국 증권거래위원회(SEC)도 사이버 사고 인지 후 4영업일 이내 공시를 의무화했고, 경영진이 위험의 크기와 영향을 직접 설명하도록 규정을 강화했다. 사이버 보안은 이제 자본적정성, 유동성과 같은 ‘핵심 리스크 관리 항목’이다.
우리 정부도 대응 수위를 높이곤 있지만 역부족이다. 과학기술정보통신부와 금융위원회는 최근 합동 브리핑을 열어 해킹 사고 신고 지연 시 과태료를 부과하고 규정 위반이 드러날 경우 엄정 조치하겠다고 했지만, 통신과 금융 분야를 나눠 설명하는 모습은 컨트롤타워 부재를 여실히 보여 줬다.
징벌과 상관없이 기업이 살려면 보안은 CEO가 직접 챙겨야 한다. 해킹은 기술적 문제가 아니라 기업 평판과 주가, 나아가 금융 안보와 직결된다. 사고 발생 시 CEO의 신속한 의사결정과 자원 투입이 피해 최소화를 좌우한다. 무엇보다 해킹 한 번이면 고객과 투자자는 등을 돌린다.
박소연 디지털금융부 기자
이미지 확대
박소연 디지털금융부 기자
2025-09-22 30면
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
