AI 핵심 요약
beta- 5대 금융그룹이 6일 보고서에서 개인정보보호를 핵심 리스크로 꼽았다.
- KB·신한·하나·우리·NH농협금융 모두 정보보호와 내부통제를 중대 이슈로 봤다.
- AI 확산과 외부 위탁 증가로 보안 관리 범위가 넓어졌다고 했다.
!AI가 자동 생성한 요약으로 정확하지 않을 수 있어요.
기후·상생금융서 정보보호로 무게중심 이동
고객정보 유출 땐 과징금·소송·평판 훼손…보안 역량이 지속가능성 지표로
[서울=뉴스핌] 전미옥 기자 = 금융권 ESG의 무게중심이 달라지고 있다. 그동안 기후위기 대응과 포용·상생금융, 지배구조가 주요 ESG 과제로 부각됐다면 올해는 개인정보보호와 정보보안이 핵심 리스크로 등장했다. 고객정보 보호 역량이 금융사의 지속가능성을 가르는 주요 지표로 부상한 것이다.
6일 KB·신한·하나·우리·NH농협금융의 '2025년 지속가능경영보고서'를 분석한 결과, 5대 금융그룹 모두 정보보호 및 개인정보보호, 내부통제 관련 이슈를 중대한 핵심 이슈로 내세운 것으로 나타났다.
직전연도인 2024년까지만 해도 금융권 ESG의 중심축은 기후변화 대응과 포용·상생금융, 지배구조에 놓여있었다. 개인정보보호는 디지털 전환, 지배구조 관리의 하위 과제로 다뤄지는데 그쳤다. 그런데 2025년 보고서에서는 개인정보보호가 독립적인 핵심 의제로 전면에 등장했다.
![]() |
먼저 KB금융그룹은 중대성 평가에서 '정보보호'를 사회적 영향과 재무적 영향을 모두 갖는 핵심 이슈로 분류했다. 이중중대성 평가에서는 금융소비자보호와 정보보호를 비롯한 11개 이슈를 선정했고, 재무중대성 평가에서는 리스크 관리·기후위기 대응·디지털 혁신 및 기술·금융소비자보호·정보보호 등 5개 이슈를 뽑았다.
정보보호와 금융소비자보호를 이중중대성 평가와 재무중대성 평가에 모두 포함하면서, 개인정보 리스크를 단순한 보안 문제가 아닌 기업가치와 평판, 비용 부담으로 연결되는 ESG 리스크로 규정한 셈이다.
특히 정보보호 항목에서는 사이버 공격 및 정보유출 리스크, 외부 위탁 및 제3자 보안 리스크를 별도 위험 요인으로 제시했다. 사이버 사고가 발생할 경우 고객 피해 보상과 사후 대응 비용, 법적 대응에 따른 충당부채, 고객 신뢰 저하에 따른 수수료수익 감소로 이어질 수 있다고 봤다.
이에 따라 정보보호최고책임자가 개인정보보호책임자(CPO), 신용정보관리보호인, 고객정보관리인을 겸임하도록 해 전문성을 높이는 동시에 CISO와 최고정보관리책임자(CIO)의 역할을 분리해 독립적인 의사결정 구조를 마련했다. 지주 정보보호위원회와 그룹 정보보호협의회를 통해 정보보호 현황과 리스크 대응 결과를 최고경영자 및 이사회에 보고하는 체계도 내세웠다.
신한금융그룹은 중대성 평가에서 '고객 개인정보보호'를 1순위 핵심 이슈로 꼽았다. 컴플라이언스 준수와 리스크 관리 강화가 각각 2·3순위에 올랐고, 정보보안 체계 확립도 5순위에 포함됐다.
신한금융은 개인정보 처리 위탁 시 외부 수탁업체와 보안관리 약정서를 체결하고, 암호화 적용 여부와 접근 권한 관리, 개인정보 파기 이행, 교육 이수 현황 등을 연 1회 이상 점검하고 있다. 점검 결과는 개인정보보호 책임자에게 보고하도록 체계를 세웠다.
하나금융그룹도 개인정보보호를 핵심 이슈로 유지했다. 하나금융은 보고서에서 개인정보 유출이 금융업 신뢰도와 직결되며 법적·재무적 리스크를 초래할 수 있다고 설명했다. 하나금융은 ISMS-P 등 정보보호 인증을 강화하고 로그 분석 범위 확대, 점검 자동화, AI 설계·개발·운영 전 단계의 개인정보보호 시스템 운영 등을 추진하고 있다. 연내 그룹 개인정보보호 관리체계를 완성한다는 목표도 제시했다.
우리금융그룹 또한 이중중대성 평가에서 '고객정보보호 강화'를 핵심 이슈로 선정했다. 금융사고에 따른 임직원 책임 범위와 재무적 리스크가 확대되는 가운데 내부통제 체계 구축과 운영 강화가 필요하다고 봤다. 이중 고객정보보호 부문에서는 디지털 금융 확산에 따른 사이버 위협과 정보유출 위험 증가를 주요 변화로 짚었다.
우리금융은 앞서 진행한 내부통제 인프라 점검 결과를 바탕으로 향후 5년간 1383억원 규모의 투자 계획을 마련했으며, 내부통제·정보보호·리스크관리 관련 7개 투자사업을 추진하고 있다. 고객정보보호 부문에서는 개인정보 접속 기록 관리 시스템 구축과 암호화 시스템 고도화 사업에 투자, 역량을 강화한다는 방침이다.
NH농협금융은 '정보보호 및 사이버 보안'을 포용·상생금융, 디지털 혁신과 함께 3대 중대 주제로 선정했다. 특히 외부 인력의 내부 정보 접근에 따른 정보 유출 가능성과 개인정보 유출 증가로 인한 평판 훼손, 비용 부담 확대를 주요 리스크로 지목했다.
농협금융은 그룹 차원의 정보보안 및 개인정보보호 관리체계를 운영하고, 고객정보 제공·이용 현황과 개인신용정보 관리·보호 실태 점검 결과를 매년 이사회에 보고하고 있다. 농협은행은 정보보호 중장기 전략인 'LINK 2028'을 수립하고 제3자 리스크 관리, 개인정보 보호 중심 설계, 공급망 관리체계 구축 등을 추진 과제로 제시했다. 무엇보다 정보보호를 단순한 규제 준수를 넘어 핵심 경쟁력이자 ESG 경영의 필수 요소로 정착시킨다는 방침이다.
5대 금융그룹의 공통점은 개인정보보호를 그룹 차원의 재무·평판 리스크로 격상했다는 점이다. 개인정보 유출은 단순한 보안 사고를 넘어 과징금과 소송, 피해보상 등 직접적인 재무 부담으로 이어질 뿐 아니라 고객 이탈, 평판 훼손을 초래할 수 있기 때문이다.
여기에 최근 AI 활용 확대와 클라우드 전환, 외부 개발·운영 위탁이 늘어나면서 금융사의 리스크 관리 범위도 내부 시스템을 넘어 협력사와 수탁업체, 디지털 플랫폼 전반으로 넓어지고 있다. 개인정보보호가 디지털 금융 시대의 핵심 거버넌스 리스크로 부상한 요인이다.
다만 금융그룹들이 보고서를 통해 정보보호를 핵심 리스크로 제시한 것과 별개로, 실제 현장에서 관련 관리 체계가 얼마나 촘촘하게 작동하는지는 여전히 검증 과제로 남아 있다. 최근 우리은행에서 발생한 고객정보 유출 사고는 외부 위탁업체 관리가 금융권 보안 리스크의 핵심 변수로 떠올랐음을 보여주는 사례다. 금융사가 내부 개인정보보호 체계를 강화하더라도 외부 개발업체 등 협력사 관리 과정에서 정보 유출이 발생할 수 있는 만큼, 내부 시스템뿐 아니라 외부 수탁업체에 대한 점검과 통제도 한층 강화해야 한다는 지적이다.
금융권 한 관계자는 "AI와 디지털 금융 확대로 고객 데이터 활용 범위가 넓어지면서 정보보호와 내부통제가 금융사의 핵심 리스크로 주목받고 있다"며 "특히 외부 위탁업체와 제휴 서비스까지 관리 범위가 확대된 만큼 보안 체계의 실효성이 고객 신뢰와 직결될 수밖에 없다"고 말했다.
romeok@newspim.com













