신한·KB카드도 정보보안 투자 비중 3년 연속 낮췄다

[인사이트코리아 = 남빛하늘 기자] 해킹 피해를 당한 롯데카드가 정보보호 투자 비중을 최근 몇 년 간 감축한 것으로 드러난 가운데, 다른 카드사들도 비슷한 행보를 보여 우려된다.

3일 금융권에 따르면 신한카드와 KB국민카드도 전체 정보기술(IT) 예산액에서 정보보호를 위한 투자가 차지하는 비중이 줄어든 것으로 확인됐다. 앞서 롯데카드의 정보보호 투자 비중은 2021년 12%에서 2023년 8%까지 축소됐다.

신한카드가 지난 5월 발간한 <2024 지속가능경영보고서>에 따르면 이 회사의 전체 IT 예산 대비 정보보호 투자 비중은 10.8%(2022년)→9.3%(2023년)→8.2%(2024년)로 3년 연속 감소했다.

신한카드 관계자는 “2022년과 2023년에는 정보보호 관련 시스템 개발 및 정비 작업을 진행하며 예산 편성이 조금 많았고 지난해에는 IT 예산 자체가 증액됐다”며 “올해 기준 비중은 9% 수준으로 개선됐다”고 해명했다.

KB국민카드도 상황은 비슷했다. 회사가 지난 6월 발간한 <2024 지속가능경영보고서>를 살펴보면 전체 IT 예산 대비 정보보호 투자 비중은 10.9%(2022년)에서 9.2%(2023년), 8.5%(2024년)로 매년 줄었다.

보고서에 의하면 KB국민카드의 IT 예산액은 2022년 1837억원에서 1840억원으로 3억원 늘었지만, 같은 기간 정보보안 관련 투자액은 200억원에서 156억원으로 오히려 축소됐다.

KB국민카드 관계자는 “최근 몇 년간 인프라 개선과 보안시스템 고도화 투자로 인한 초기 구축비용 성격이 줄어든 게 일정 부분 반영됐다”며 “클라우드 기반 보안·AI 기반 침해탐지 등 효율성이 높은 보안 체계를 운영 중으로 보안 수준은 더욱 강화됐고 운영비는 최적화가 이뤄졌다”고 설명했다.

<인사이트코리아>는 위 카드사 외에도 삼성·현대·하나·우리카드에 2022~2024년 연도별 전체 IT 예산액과 정보보호 투자액 데이터를 요청했다. 이 가운데 삼성·하나카드는 해당 수치를 공개할 수 없다는 입장을 전했다.

현대카드의 경우 구체적인 수치 대신 매년 전체 IT 예산의 7% 이상을 투자하고 있다고 밝혔다. 회사 관계자는 “감독규정상 IT 예산의 7% 이상을 정보보안에 쓰도록 돼 있고, 2022~2024년 동안 매년 7% 넘게 투입한다”고 말했다.

반면 우리카드는 투자를 늘렸다. 우리카드의 전체 IT 예산 대비 정보보호 투자 비중은 2022년 9.4%에서 2023년 8.8%로 소폭 줄었으나 지난해에는 10.5%로 상승했다. 2024년 기준 비중이 공개된 카드사 가운데 가장 높다.

우리카드 관계자는 “전체 IT 예산 증감에 따라 조금씩 달라질 수 있다”면서도 “정보보호 부문 예산은 꾸준히 확대되고 있다”고 강조했다.

전문가 “정보보호 투자 축소, 위험한 선택”

카드사들의 정보보호 투자 축소 행보에 업계 전문가의 우려 목소리가 나온다. 서지용 신용카드학회장(상명대 경영학부 교수)은 “카드사 등 금융사의 IT 예산 대비 정보보호 투자 비율이 낮아지는 것은 단기적으로 비용을 아끼는 것처럼 보일 수 있으나 실제로는 해킹·유출 등 보안 위협이 상존하는 현실에서 매우 위험한 선택”이라고 진단했다.

익명을 요구한 한 기업 고위 관계자도 “전체 IT 예산이나 정보보호 투자가 줄어드는 것은 바람직하지 못한 상황”이라며 “특히 카드사의 경우 다른 산업군과 비교할 수 없을 만큼 방대한 고객 데이터를 다루는 만큼 정보보호 투자는 매년 꾸준히 확대돼야 한다”고 지적했다.

한편 카드업계에서는 투자 비중 축소가 곧바로 보안 역량 저하로 이어진다고 단정하기 어렵다는 입장이다. 한 업계 관계자는 “정보보호 투자 비중이 줄었다고 해서 곧바로 회사 역량이 약화됐다고 보기는 힘들다”면서도 “최근 해킹·유출 등 보안 위협이 잇따르는 만큼 이를 인식할 필요는 있다”고 말했다.