금융권이 해킹 사고와 인공지능(AI) 기반 사이버 공격에 대비해 정보보호 예산을 전반적으로 늘렸지만, 실제 집행률은 오히려 낮아지면서 편성한 돈이 현장에 얼마나 제대로 투입되고 있는지가 새로운 점검 과제로 떠올랐다.
6일 국회 정무위원회 소속 이양수 국민의힘 의원이 금융감독원에서 받은 자료를 보면, 5대 시중은행인 국민·농협·신한·우리·하나은행과 인터넷전문은행인 카카오뱅크·케이뱅크·토스뱅크의 2025년 정보보호 예산 편성액은 3천978억원으로 집계됐다. 2023년 3천282억원과 비교하면 21.2% 늘어난 규모다. 같은 기간 집행액도 2천446억원에서 2천744억원으로 12.2% 증가했다. 다만 예산을 얼마나 실제로 썼는지를 보여주는 집행률은 2023년 74.5%, 2024년 70.8%, 2025년 69.0%로 낮아졌다. 금융회사들이 사고 가능성에 대비해 예산을 넉넉하게 잡는 경향이 강해졌지만, 그만큼 실제 투자 속도는 예산 증가를 따라가지 못하고 있다는 뜻이다.
개별 은행별로 보면 차이가 더 뚜렷하다. 우리은행은 2023년 523억원이던 예산을 2025년 787억원으로 50.5% 늘렸지만, 집행액은 2024년 448억원까지 증가한 뒤 2025년 423억원으로 다시 줄었다. 신한은행도 예산은 420억원에서 453억원으로 꾸준히 확대했으나 집행액은 337억원에서 348억원으로 소폭 늘었다가 317억원으로 감소했다. 농협은행 역시 예산이 2023년 651억원에서 2024년 802억원까지 커진 뒤 2025년 753억원으로 줄었고, 집행액도 472억원에서 559억원으로 증가했다가 481억원으로 내려왔다. 은행권에서는 코로나19 시기 비대면 영업 확대에 맞춰 보안 투자를 공격적으로 늘린 뒤 최근에는 증가세가 다소 완만해졌고, 대형 시스템을 안정적으로 운영하는 과정에서 예산을 보수적으로 편성하는 관행도 집행률 하락의 배경으로 거론된다.
은행 밖 다른 업권도 대체로 비슷한 흐름을 보였다. 10대 증권사의 정보보호 예산은 2년 새 1천293억원에서 1천428억원으로 10.4% 늘었고, 집행액은 1천29억원에서 1천171억원으로 13.8% 증가했다. 그러나 KB증권은 예산이 148억원에서 139억원으로, 집행액은 113억원에서 102억원으로 줄었다. NH투자증권도 예산이 2024년 166억원까지 늘었다가 2025년 139억원으로 감소했고, 집행액도 112억원에서 93억원으로 줄었다. 8개 전업 카드사의 경우 예산은 17.0%, 집행액은 21.1% 증가했지만, 지난해 대규모 해킹 사고를 겪어 금융당국 제재 절차가 진행 중인 롯데카드는 예산을 2024년 151억원에서 2025년 128억원으로 낮췄고 집행액은 두 해 모두 117억원 수준에 머물렀다. 대형 생명보험사 3곳은 예산과 집행액이 각각 28.0%, 29.8% 늘었고, 5대 대형 손해보험사는 예산은 0.6% 줄었지만 집행액은 18.4% 증가했다. 다만 메리츠화재·KB손해보험·현대해상 등은 2024년보다 2025년 예산과 집행이 모두 감소했다.
이런 숫자는 금융권 정보보호 투자가 지금은 강한 의무 규정보다 자율 관리에 더 의존하고 있다는 점과도 맞닿아 있다. 과거 금융당국은 이른바 5-5-7 규칙에 따라 전체 인력의 5% 이상을 정보기술 인력으로 두고, 그 정보기술 인력의 5%를 정보보호 인력으로 운영하며, 정보기술 예산의 7%를 정보보호에 배정하도록 권고했다. 하지만 이 기준은 폐지됐고, 현재는 각 금융회사가 자율적으로 공시하는 구조다. 대신 금융당국은 전자금융거래법 개정을 통해 금융회사의 정보보호 수준 공시를 의무화하는 방안을 추진하고 있다. 이는 단순히 예산을 많이 잡는 데서 그치지 않고, 실제 보안 역량이 어느 정도인지 시장과 소비자가 확인할 수 있게 하겠다는 취지로 읽힌다.
최근에는 ‘미토스’ 같은 프런티어 인공지능의 등장으로 사이버 공격도 더 정교해질 수 있다는 우려가 커지고 있다. 자동화된 공격 기법이 고도화되면 금융사의 전산망, 고객 정보, 결제 시스템이 동시에 위협받을 수 있어서 보안 투자는 비용이 아니라 필수 인프라에 가깝다는 인식이 강해지는 분위기다. 금융당국은 사전 예방 중심의 감독으로 취약점을 신속히 보완하겠다는 입장이고, 이양수 의원도 편성된 예산이 실제로 제대로 집행되는지 면밀한 점검이 필요하다고 지적했다. 이 같은 흐름은 앞으로 금융권의 보안 경쟁을 더 강화하는 방향으로 이어질 가능성이 크며, 향후에는 예산 규모 자체보다 실제 집행의 충실도와 최고경영자(CEO)의 관심이 각 회사의 정보보호 수준을 가르는 핵심 기준이 될 것으로 보인다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>
많이 본 기사