JP Morgan, 내부자 리스크를 ‘상시 위협’으로 관리하다
“금융감독당국의 기준, 사고 자체가 아니라 준비 상태에 의미”
최근 불거진 쿠팡의 개인정보 유출 사건은 표면적으로는 외부 침입이나 보안 시스템상 취약점에서 비롯된 사고처럼 보인다. 그러나 사건을 조금 더 깊이 들여다보면, 문제의 핵심은 해킹 기술이나 보안 솔루션 성능이 아니라 기업의 내부통제가 정상적으로 작동했는가로 귀결되어야 한다는 것을 알게 된다. 이번 사태는 ‘기술 차원의 사고’라기보다 ‘내부통제 실패’의 결과라는 평가가 설득력을 얻고 있다. <알파경제>는 쿠팡의 개인정보 유출과 관련, 내부통제의 구조적 문제, 글로벌 빅테크의 다양한 피해사례, 쿠팡 사고를 반면교사 삼아 내부통제의 꼼꼼한 설계 등 총 4편의 기획기사를 준비했다. [편집자주]
① 3370만명 개인정보 털려…기술 문제가 아닌 내부통제의 ‘붕괴’
② 쿠팡과 유사한 사고, 글로벌 빅테크도 피해가지 못했다
③ 금융사 내부통제의 뼈대 ‘3선 방어체계’…”쿠팡은 없었다”
④ 쿠팡 사고의 교훈, ‘사전 내부통제 설계’가 회사를 살린다
 |
| (사진= 제공) |
[알파경제=차혜영 기자] 개인정보 유출 사고는 금융회사에서도 발생한다. 외부 해킹, 내부자 접근, 전산 설정 오류 등 사고의 유형 역시 일반기업이나 플랫폼 기업과 다르지 않다. 그럼에도 금융회사에서 발생한 개인정보 사고는 대체로 더 이른 시점에 포착되고, 더 강한 구조적 대응으로 이어진다. 차이는 개인정보를 바라보는 리스크 인식에서부터 시작된다.
금융회사에서 개인정보와 고객 정보는 단순한 데이터가 아니다. 이는 자산 이동, 신용도, 거래 안정성과 직결되는 중요한 인프라다. 따라서 개인정보 통제 실패는 개별 사고가 아니라, 금융 시스템 전체의 신뢰를 흔드는 리스크로 인식된다. 이에 따라 금융회사 내부통제는 사고 대응 차원이 아니라 사고 예방을 전제로 ‘사전에 설계하는 구조’로 준비된다.
◇ Capital One, ‘기술적 문제’로 치부하지 않은 이유
지난 2019년 미국의 대형 상업은행이자 신용카드사인 Capital One에서 발생한 개인정보 유출 사건은 클라우드 방화벽 설정 오류에서 비롯됐다. 표면적으로는 기술적인 실수에 가까운 사고였다. 그러나 금융감독당국과 금융시장의 시선은 달랐다. 이들의 질문은 ‘왜 오류가 발생했는가’가 아니라, ‘왜 그 오류가 사전에 걸러지지 못했는가’였다.
조사 결과, 시스템 변경 사항이 리스크 관리 조직과 충분히 공유되지 않았고, 접근 권한과 로그를 교차 점검하는 체계도 미흡했던 것으로 드러났다. 이에 Capital One은 IT 부문 보안 인력 확충보다도, IT 운영–리스크 관리–내부감사 간 책임 구조를 전면 재정비하는 데 더 힘썼다. 하나의 사고를 계기로 내부통제 구조 전체를 다시 설계한 것이다.
◇ JP Morgan, 내부자 리스크를 ‘상시 위협’으로 관리하다
미국 최대 투자은행 중 하나인 JP Morgan은 최근 수년간 개인정보 보호와 관련하여 외부 해킹보다 내부자 접근 리스크를 더 중대하게 관리해 온 금융회사로 꼽힌다. 내부 직원이나 협력업체의 권한 남용은 가장 탐지하기 어렵고, 피해 규모도 크기 때문이다. 이에 따라 JP Morgan은 개인정보 접근을 업무에 꼭 필요한 범위로 극단적으로 제한하고, 모든 접근 기록을 실시간 분석 대상으로 삼는다.
이상 접근 패턴이 감지될 경우 자동 경보가 발생되고, 상황에 따라 접근 권한이 즉각 제한된다. 중요한 점은 이 시스템이 보안 부서 자체만으로 운영되지 않는다는 점이다. 리스크 관리, 컴플라이언스, 내부감사 조직이 공동으로 통제 구조를 설계하고 점검한다. 사고 이후 조사에 중점을 두는 것이 아니라, 사고 발생 가능성 자체를 낮추는 구조다.
◇ ING·HSBC 사례가 보여준 공통된 결론
유럽 금융회사들 역시 유사한 흐름을 보여왔다. ING와 HSBC는 과거에 고객 정보 접근 관리와 로그 통제 미흡 등으로 감독당국의 강한 지적을 받았다. 이후 두 회사는 공통적으로 개인정보 접근을 ‘영업 편의’에서만 바라보지 않고, ‘전사적 리스크 관리 대상’으로 격상시켰다.
특히 접근 권한 부여·회수 과정에 다단계 승인 절차를 도입하고, 내부감사 부문에서 정기적으로 접근 로그를 점검하는 구조를 확립했다. 개인정보 관리를 특정 부서의 책임 영역이 아니라, 이사회와 최고경영진이 감독해야 할 핵심 통제 영역으로 재정의한 것이다.
 |
| (사진=연합뉴스) |
◇ 금융회사 내부통제의 뼈대, ‘3선 방어체계’
금융회사 내부통제는 ‘3선 방어체계(Three Lines of Defense)’를 지향한다. 1차 방어선은 개인정보를 실제로 다루는 현업 부서다. 2차 방어선은 리스크 관리와 컴플라이언스로, 현업의 활동을 감시하고 통제한다. 3차 방어선은 내부감사로, 이 모든 구조가 정상적으로 작동하는지를 독립적으로 점검한다.
이 체계에서는 개인정보 접근이 특정 개인이나 부서의 재량에 맡겨질 수 없다. 접근 정보가 발생하면 2차 방어선이 이를 감시하고, 3차 방어선이 사후적으로 검증한다. 권한과 책임이 구조적으로 분리되어 있어 통제 실패가 장기간 방치될 가능성이 낮아진다.
전 금융감독원 감독총괄 국장 출신 이창운 법학박사는 “금융회사에서 개인정보 사고가 발생하면 가장 먼저 점검하는 것은 개인의 일탈이 아니라 내부통제 구조”라며 “그와 관련해 3선 방어체계가 제대로 작동했는지를 중요하게 생각한다”고 설명했다.
◇ 사고 대응의 중심은 ‘거버넌스’
금융회사에서 사고가 발생했을 때 대응의 중심은 담당 부서만이 아니다. 법무, 컴플라이언스, 리스크 관리, 내부감사, 그리고 이사회까지 거버넌스 전반이 동시에 작동한다. 이는 사고를 조직의 취약성을 드러내는 경고 신호로 인식하기 때문이다.
법무법인 로백스 김기동 대표는 “금융회사 사건에서는 사고 발생이 곧바로 감독당국 보고와 제재, 소송으로 이어진다”며 “그래서 금융회사들은 사고 이후 대응보다, 사고 이전에 법무·리스크 관점에서 내부통제를 설계하는 데 더 많은 자원을 투입한다”고 설명했다.
◇ 금융감독당국의 기준, 사고 자체가 아니라 준비 상태에 의미
2024년 「금융회사 지배구조법」 개정으로 금융회사 내부통제가 강화된 이후 금융감독당국의 접근법은 명확하다. 사고 발생 자체보다 사고 이전에 금융회사가 어떤 내부통제 체계를 갖추고 있었는지가 중요한 판단 기준이 된다.
합리적인 내부통제 설계와 사전 점검 체계가 있었다면 사고 이후의 제재는 달라질 수 있다. 반대로 내부통제 구조가 부실했다면, 사고 규모와 무관하게 중대한 책임이 뒤따른다.
완벽한 보안은 불가능하지만, 통제 설계에 완전성을 기하려는 노력은 가능하다. 최근 금융회사는 이를 전제로 감독을 받고 있다. 이러한 기준은 이제 빅테크와 플랫폼 기업으로 빠르게 확장될 것이다.
 |
| (사진=연합뉴스) |
◇ 플랫폼 기업에 던져진 새로운 질문
개인정보 사고를 줄이는 힘은 기술의 완전성에 있는 것이 아니라 사전 내부통제 구조에 있다. 금융회사는 이미 이 교훈을 제도화했다. 반면 플랫폼 기업들은 여전히 사고 이후 대응에 머무르는 경우가 많다.
다음 회에서는 이 간극을 직접적으로 다룬다. 왜 플랫폼 기업도 금융회사 수준의 사전 내부통제를 요구받고 있는지, 그리고 COSO 등 글로벌 기준이 요구하는 통제 구조가 무엇인지 살펴본다. 답은 처벌 강화가 아니라, 구조 설계에 있다.
알파경제 차혜영 기자(kay33@alphabiz.co.kr)
