[Why&Next]당국 압박에도 ‘제3자 리스크’ 확대…“전 금융권 통합 규제·금융사 거버넌스 개혁 병행해야”
2026.07.09 06:15
당국 일회성 메시지·업권별 칸막이 규제로는 구조적 한계
CISO·CCO 이사회 소외 개선, CEO 책임 강화 개혁 절실금융회사로부터 업무를 위탁받은 제3자의 과잉 영업과 고객정보 유출 등 이른바 '제3자 리스크'가 전 금융권으로 확산하면서 우려가 커지고 있다. 최고경영자(CEO) 책임 아래 정보보호책임자(CISO)와 소비자보호책임자(CCO)의 독립적인 의사결정과 예산 편성 권한을 보장하는 지배구조, 즉 거버넌스 개혁 없이는 리스크 확산을 막기 어렵다는 지적이 나온다. 금융당국 역시 사고 발생 이후 이뤄지는 사후적 수시검사나 수장의 단발성 경고에 그칠 것이 아니라 유럽연합(EU) 등 선진국처럼 전 금융권에 공통으로 적용되는 통합 규율 체계를 마련해야 한다는 주장이 힘을 얻고 있다.
제3자 리스크, 보험 과잉 영업 넘어 전 금융권 '뇌관'으로
9일 금융권에 따르면 제3자 리스크는 보험권의 과잉 영업 문제를 넘어 외주 정보기술(IT) 업체의 전산 관리 부실, 고객정보 유출, 빅테크 금융 계열사의 데이터 이전 문제 등으로 확장되고 있다.
그동안 금융권에서 제3자 리스크는 보험사가 아닌 의료인·브로커 등 제3자의 과잉 진료 유도나 보험사기 행위 등으로 좁게 해석돼 왔다. 실제로 이찬진 금융감독원장도 지난 7일 열린 '제3차 소비자위험대응협의회'에서 보험상품에 내재한 제3자 리스크를 지적했을 뿐, 외주화에 따른 전 금융권의 구조적 전산 문제는 언급하지 않았다. 당시 이 원장은 "제3자 리스크로 인한 사회적 비용 초래가 우려된다"며 소비자 보호를 위한 신속한 대응을 당부한 바 있다.
최근에는 제3자 리스크를 보험권의 과잉 영업 문제에 한정해서는 안 된다는 목소리가 커지고 있다. 은행 전산 업무를 위탁받은 외부 개발업체를 통한 고객 신용정보 유출 사건, 카카오페이가 해외 위탁업체에 고객 정보를 넘긴 행위를 법원이 위법한 '제3자 제공'으로 판단한 1심 판결 등이 이어지면서다. 전통 금융사는 물론 빅테크 금융 계열사와 가상자산 거래소까지 정보 유출과 보이스피싱 등 2차 피해 우려가 번지고 있지만, 관련 법규 미비로 경영진 처벌이나 실질적 개선은 제대로 이뤄지지 않고 있다는 지적도 나온다.
EU 'DORA' 벤치마킹해야…통합 규율 체계 시급
전문가들은 업권별 가이드라인 제시만으로는 한계가 있는 만큼 전 금융권에 보편적으로 적용되는 통합 규율 체계가 필요하다고 입을 모은다. 대표적인 해외 모범 사례로는 EU가 2025년부터 27개 회원국에서 전면 시행 중인 '디지털 운영 복원력 법(DORA)'이 거론된다. DORA는 금융회사뿐 아니라 이들과 계약한 제3자 IT 외주업체까지 규제 범위를 넓히고, IT 리스크에 대한 이사회와 CEO의 최종 법적 책임을 명시한 것이 핵심이다. 특히 IT 운영 부서와 보안 통제 부서를 엄격히 분리해 정보보호책임자의 예산권과 조직적 독립성을 법으로 보장한다.
국내 금융당국도 DORA 도입 필요성을 인지하고 있다. 김주현 전 금융위원장은 2024년 7월 정보보안원이 주최한 '정보보호의 날 기념 금융회사 최고경영자 초청 세미나' 기조연설에서 "EU의 DORA 등 글로벌 동향을 살펴 국내 금융 분야에 부족한 점이 없는지 검토하고 법령 제·개정 등 정책 수립을 추진하겠다"고 밝힌 바 있다.
서지용 상명대 경영학부 교수는 "국내 제3자 리스크는 '사고 후 처벌' 중심의 대응과 낮은 관리·감시 투자, 외주업체에 대한 원청의 영업 압박이 겹친 결과"라며 "DORA와 같은 공통 규율을 마련하되, 업권별 특성을 반영해 차등 적용하는 통합 감독 체계를 갖춰야 한다"고 짚었다.
'책임 전가' 관행 깨고 금융사 내부 거버넌스 개혁해야
실질적인 변화는 민간 금융사의 거버넌스 개혁에 달렸다는 지적도 나온다. 금감원이 지난해 3월 '제3자 리스크 관리 가이드라인'을 배포했음에도 최근까지 법인보험대리점(GA)의 제휴 업체 데이터베이스(DB) 영업 과정에서 개인정보 유출 사고가 끊이지 않는 것은 당국의 지도만으로는 한계가 있음을 보여준다. 사고가 발생하면 외부 해커나 외주업체 탓으로 돌리고 넘어가는 관행을 근절해야 한다는 목소리가 커지는 이유다.
롯데카드는 거버넌스 개혁을 통해 위기를 극복한 사례로 꼽힌다. 과거 대규모 정보 유출 사고 이후 CEO가 직접 참여하는 소비자보호위원회를 신설하고, 전체 IT 예산 중 정보보호 비중을 15%까지 확대하는 등 대대적 개혁을 단행했다. 그 결과 올해 1분기 기준 회원 수가 956만6000명으로 사고 이전 수준까지 회복됐다.
채상미 이화여대 경영학부 교수는 "당국 제재는 사후 대응일 뿐이고, 실질적 변화는 금융사 거버넌스 개혁에 달려 있다"며 "CISO와 CCO의 이사회 참여권을 실질적으로 보장하고 독립적 예산 편성권을 부여하는 동시에 사고 발생 시 CEO가 법적·경영적 책임을 지는 구조가 완전히 정착돼야 실효성 있는 통제가 작동할 것"이라고 강조했다.
저작권 보호를 위해 본문의 일부만 표시됩니다.
원문 보기 →댓글 (0)
첫 번째 댓글을 작성해보세요!
단발의 다른 소식
모든 소식을 불러왔습니다
