2026년 3월, 대부업체 두 곳에서 잇따라 해킹 사고가 발생했습니다. 직원이 업무용 PC로 외부 인터넷 사이트를 접속하는 과정에서 악성코드가 유입됐고, 해커는 감염된 PC를 발판으로 데이터베이스에 접근해 고객 개인정보를 탈취했습니다. 탈취된 정보는 다크웹에 판매됐고, 언론 공개를 빌미로 한 협박과 피싱 이메일 발송 등 2차 범죄로까지 이어졌습니다.
금감원은 지난 5월 13일에 대부업권 CEO 간담회를 열어 보안 강화를 강력히 주문하고, 보안 의무 위반으로 개인신용정보가 유출될 경우 과징금 최대 50억 원, 과태료 최대 5,000만 원을 부과하겠다고 밝혔습니다. 금감원이 직접 재발 방지 조치 3가지를 명시했다는 점에서 이번 간담회는 단순한 경고가 아니라, 금융권 전반에 대한 보안 체계 점검 신호로 읽힙니다.
금감원이 명시한 재발 방지 조치 3가지
① 업무용 PC 외부 인터넷 접속 제한
이번 사고의 시작은 업무용 PC로 외부 사이트를 접속하다 악성코드에 감염된 것이었습니다. SNS, 뉴스 검색 등 일반 인터넷 접속을 업무망과 분리하지 않았던 것이 첫 번째 허점이었습니다. 금감원은 업무용 PC의 인터넷 접속을 엄격히 제한해 악성코드 유입 경로 자체를 차단할 것을 요구했습니다.
② 전문 보안업체를 통한 보안 진단 및 취약점 즉시 개선
방화벽 등 접근 통제 시스템이 있었음에도 침입을 차단하지 못했다는 것은, 시스템이 없었던 게 아니라 제대로 작동하지 않았다는 의미입니다. 금감원은 외부 전문 보안업체를 통한 정기적 보안 진단과 발견된 취약점의 즉각적인 개선을 의무화하도록 촉구했습니다.
③ 개인신용정보 암호화 등 기술적·물리적·관리적 보안 대책 수립
세 번째이자 핵심 조치가 개인신용정보 암호화입니다. 신용정보법 적용 대상인 금융사가 암호화 의무를 충족하지 못하고 있었다는 사실은, 이번 사고가 개별 업체의 실수가 아니라 금융권 전반의 구조적 공백임을 보여줍니다. 기술적 보호조치(암호화, 침입차단 및 탐지 시스템)뿐 아니라 물리적, 관리적 대책까지 통합해 수립하도록 요구한 것이 이번 권고의 핵심입니다.
이번 사건에서 주목해야 할 건 사고의 규모가 아닙니다. 금감원이 재발 방지 조치로 요구한 항목 중 핵심 조치가 ‘개인신용정보 암호화’였다는 사실입니다. 즉, 신용정보법 적용 대상인 금융사들이 아직도 개인정보를 암호화하지 않은 채 보유하고 있었다는 뜻이기도 하죠. 이것은 특정 업체만의 문제가 아닙니다. 여러 금융사에서 개인정보는 여전히 다양한 저장소에, 암호화되지 않은 상태로 곳곳에 흩어져 있는 것이 현실입니다.
이러한 상황에서 우리는 보안의 출발점이 어디인지를 다시 생각해볼 필요가 있습니다. 암호화는 ‘어디에 무엇이 있는지 아는 것’에서 시작합니다. 지금 우리 조직 안에 개인정보가 어떤 저장소에, 얼마나, 어떤 형태로 존재하는지 파악하지 못한 상태에서는 암호화 정책을 세울 수 없습니다. 업무 과정에서 자연스럽게 만들어진 문서, 공유 폴더에 쌓인 파일, 오래된 서버에 잠들어 있는 데이터 등 이것들이 어디에 있는지 모른다면, 해커가 침투했을 때 무엇이 빠져나갔는지조차 파악하기 어렵습니다.
금융사들의 개인정보 문제는 여기서 끝나지 않습니다. 금융권은 데이터를 단순히 저장하는 게 아니라, 적극적으로 분석하고 활용해야 하는 산업입니다. 마이데이터 서비스, 신용 분석 모델, AI 기반 심사 시스템, 이종 기관 간 데이터 결합 등 여러 과정에서 고객 데이터를 원본 그대로 활용하는 순간, 그것 자체가 유출 리스크가 됩니다. 특히 데이터 결합이나 분석 과정에서 개인정보가 재식별될 수 있는 구조라면, 법적 준수 여부와 무관하게 언제든 문제가 불거질 수 있습니다.
결국 금융사 앞에 놓인 과제는 두 가지입니다. 보유하고 있는 개인정보를 빠짐없이 파악하고 암호화하는 것, 그리고 활용해야 하는 데이터라면 재식별 위험 없이 쓸 수 있는 환경을 만드는 것입니다. 이 두 가지가 갖춰지지 않은 상태에서 규제 대응은 사후 처리에 그칠 수밖에 없습니다.
Fasoo Data Radar (이하 FDR)는 파일서버, PC, 스토리지 등 조직 전반에 흩어진 민감정보를 실시간으로 탐지하고 분류합니다. 개인정보가 어디에 있는지 파악되는 순간, 해당 데이터를 자동으로 암호화하거나 격리, 삭제 등 후처리 정책을 적용할 수 있으며 일정 기간 후 권한을 회수하는 것도 가능합니다. 즉 FDR은 금감원과 개인정보보호법이 요구하는 기술적 보호조치를 실질적으로 수행할 수 있는 기반일 될 수 있습니다.
개인정보 활용 단계의 문제는 AnalyticDID (이하 ADID)가 다룹니다. ADID는 재식별 위험 없이 데이터를 가명, 익명 처리하는 비식별화 솔루션입니다. 국내외 비식별 관련 법을 모두 충족하는 알고리즘이 적용돼 있으며, 의사 결정에 도움을 줄 수 있도록 빅데이터 분석의 효용성과 위험에 대한 다양한 지표를 가시화해 제공합니다. 마이데이터와 데이터 결합이 실무로 자리잡은 금융 환경에서, 비식별화는 선택이 아니라 전제가 됐습니다.
제대로 된 데이터 비식별화가 필요합니다!과징금 50억은 사고가 난 이후의 이야기입니다. 지금 필요한 것은 사고가 나기 전에, 개인정보가 어디에 있는지 파악하고, 보호되지 않은 채 쌓여 있는 데이터를 하나씩 통제 안으로 가져오는 일입니다. 규제 압박이 높아지는 지금이, 금융사가 개인정보 보안 환경을 근본부터 다시 점검할 가장 현실적인 시점입니다.
금융권 개인정보 보안 환경을 점검하고 싶으시다면, 파수 AI와 함께 하세요!
