ESG 모범생이던 시중은행…정보보호 분야는 낙제점

사이버보안 관련정보 공시 안해
"개인정보 침해사고 예방나서야"
시중 은행 대부분이 사이버 보안 등 정보 보호 투자 내용을 공시하지 않고 있는 것으로 나타났다. 북한 해커 조직이 금융 보안프로그램을 잇달아 공격하고 있는 가운데, 정보 보호 이슈가 은행권 ESG(환경·사회·지배구조) 경영에 ‘구멍’이 될 수 있다는 우려의 목소리가 나온다.

23일 과학기술정보통신부와 한국인터넷진흥원(KISA) 등에 따르면 국민·신한·하나·농협은행은 정보보호 공시제도가 시행된 2016년부터 지금까지 한 번도 관련 내용을 공시하지 않았다. 금융 업종은 ‘자율 공시’ 대상으로 분류돼 공시에 대한 법적 의무가 없다는 게 은행들의 설명이다. 꾸준히 정보 보호 공시에 참여한 곳은 우리은행뿐이다. 이 은행은 작년 4월 정보보호 부문에 405억원을 투자했다고 공시했다. 보안 인력은 내부 27명, 외주 50명으로 총 77명이다.

관련 공시를 하지 않은 은행들의 사업보고서에는 정보 보호 조치가 미흡해 정부 당국의 지적을 받은 사안이 다수 확인됐다. 금융감독원은 작년 12월 국민은행 임원에게 견책 처분을 내렸다. 신용정보 전산시스템에 대한 보안대책을 수립해야 하는 의무를 위반했다는 이유다. 하나은행도 보안대책 수립 시행 의무 위반으로 작년 9월 2400만원의 과태료 처분을 받았다. 신한은행 부행장과 상무도 정보처리 시스템 전산망 분리를 하지 않아 2021년 2월 견책을 받았다.

정보 보호 공시제도는 2015년 12월 도입됐다. 이용자의 알 권리를 보장하기 위해서다. 정보 보호는 ESG 평가 기관들의 주요 평가 항목이기도 하다. 산업통상자원부의 ‘K-ESG 가이드라인’에 따르면 ‘정보보호 시스템 구축’ 항목엔 최대 100점의 가산점이 붙는다. 개인정보 보호 관련 법 위반 시에는 최대 50점 감점된다.송민경 한국ESG기준원 선임연구위원은 “세계적으로 ESG 중 사회(S) 부문으로 분류되는 ‘정보 보호’와 ‘개인정보 침해사고 예방’의 중요성이 커지는 분위기”라며 “한국 금융 시스템의 근간이 되는 시중은행들이 정보 공시에 보다 적극적으로 참여해야 한다”고 지적했다.

김진원 기자 jin1@hankyung.com