[파이낸셜경제=전병길 기자] 국내 금융업계가 해킹 침해사고에 지속적으로 노출되고 있는 가운데, 최근 6년간 5만 명 이상의 개인정보 유출 피해가 발생했음에도 불구하고 해킹의 배후를 밝히지 못한 비율이 70%에 달하는 것으로 나타났다. 이에 따라 금융보안에 대한 보다 정밀한 대응체계와 강력한 관리가 필요하다는 지적이 제기된다.

연도별 사고 증가세…올해 상반기만 4건 발생

사고 발생은 은행, 피해는 저축은행에서 집중

▲ 강민국 의원

국회 정무위원회 소속 강민국 의원(국민의힘, 경남 진주시을)이 금융감독원으로부터 제출받은 자료에 따르면, 2020년부터 2025년 6월까지 국내 금융권에서 발생한 해킹 침해사고는 총 27건에 달하며, 이로 인한 정보 유출 건수는 총 5만 1,004건으로 집계됐다.

특히 올해 들어 정보 유출 규모는 급증하는 양상을 보이고 있다. 2025년 상반기 발생한 해킹 사고는 △아이엠뱅크(2월 8일) △노무라금융투자(5월 16일) △KB라이프생명보험(5월 16일, 유출 2,673건) △한국스탠다드차타드은행(5월 18일, 유출 469건) 등 4건이며, 총 3,142건의 정보가 유출됐다.

업권별로 살펴보면, 사고 건수는 은행업권에서 12건(44.4%)으로 가장 많았다. 이어 증권업권(6건), 저축은행 및 손해보험업권(각 3건), 카드업권(2건), 생명보험업권(1건) 순이었다.

하지만 정보유출 규모로는 저축은행이 단연 압도적이다. 전체 유출 건수의 72.5%인 3만 6,974건이 저축은행에서 발생했으며, 이어 증권업권 1만 883건, 카드업권 3,426건, 생명보험업권 2,673건, 은행업권 474건이 뒤를 이었다. 손해보험업권에서는 정보 유출 사례가 확인되지 않았다.

피해보상은 ‘극히 제한적’…5년간 고작 1억 9천만 원

이 같은 대규모 유출 사고에도 불구하고 실제 피해보상은 극히 제한적이었다. 2020년부터 2025년 6월까지 금융사들이 유출 피해자에게 지급한 배상금은 총 1억 9,526만 원에 불과하며, 배상 대상 인원도 148명에 그쳤다.

배상 사례 중에서는 신한카드가 2021년 발생한 사고로 73명에게 1억 7,739만 원을 지급해 배상금액의 90% 이상을 차지했다. 키움예스저축은행(72명, 1,165만 원), 삼성증권(3명, 621만 원)도 일부 배상을 진행했다.

해킹 기법 분석에 따르면, 침해사고 중 가장 많이 사용된 수법은 서비스 거부 공격(11건, 40.7%)이었고, 이어 보안취약점 해킹(7건), 악성코드 삽입(5건), 무단접속 및 조작(1건) 등이 있었다.

그러나 정보 유출을 야기한 주요 원인은 악성코드(58.4%), 보안취약점 해킹(27.6%), 무단접속 및 조작(14%) 순으로 나타났다. 서비스 거부 공격은 정보 유출로 이어지진 않았지만, 시스템 운영 중단 등으로 심각한 영향을 줄 수 있다.

해킹 배후 국가 확인 ‘불가’ 70%…러시아·중국·미국도 포함

문제는 해킹의 배후를 제대로 추적하지 못하고 있다는 점이다. 27건의 사고 중 19건(70.4%)은 배후국가 확인이 불가하다는 결론이 내려졌으며, 3건은 현재 조사 중이다.

배후가 식별된 5건 중 2건은 러시아가 연루된 것으로 나타났으며, 나머지는 중국, 미국, 그리고 다국적 해커조직(미국·네덜란드·러시아·사우디아라비아·불가리아 복합)이 포함된 것으로 확인됐다. 특히 2024년 한국스탠다드차타드은행 해킹의 경우 복수국가가 연루된 사이버 공격으로 파악됐다.

이에 대해 강민국 의원은 “해킹 사고 발생 시 해커는 다양한 우회경로와 은폐기법을 활용하기 때문에 실제 위치와 배후 국가를 특정하기 어렵다”며 “보안 취약점을 악용한 내부 침투 위험이 증가하고 있는 만큼 금융권의 원격근무, 모바일 오피스 등 업무환경에 대한 철저한 감시체계가 필요하다”고 지적했다.

강 의원은 또한 “금융 당국은 IT 상시 협의체를 통한 정보 공유와 침해사고 예방교육을 강화하고, 금융사 보안 위협 대응 수준을 실시간 감시할 수 있는 통합관제체계 마련을 서둘러야 한다”고 강조했다.

파이낸셜경제 / 전병길 기자 goinfomaker@gmail.com 

[저작권자ⓒ 파이낸셜경제신문 | 파이낸셜경제TV. 무단전재-재배포 금지]