[기고] “누가, 왜 봤는가?”… 답 못하는 카드사에 미래는 없다

Accountability·Audit-Ready 내부통제가 신뢰를 살린다 채상미 이화여대 경영학부 교수 디지털 금융이 일상이 된 지금, 카드사의 경쟁력은 더 이상 '데이터를 얼마나 많이 보유하는가'에 있지 않다. 승부는 '고객 정보를 누가, 왜, 어떻게 봤는지 설명할 수 있는가'에서 갈린다. 고객은 편리함을 얻는 대신 가장 민감한 정보를 맡긴다. 그 신뢰를 지키는 힘은 기술의 화려함이 아니라, 통제가 제대로 작동했다는 사실을 근거로 보여주는 ‘증명 능력’이다. 최근 반복되는 개인정보 유출, 내부자 일탈, 협력업체 계정 악용 사건이 말해주는 현실은 분명하다. 기술이 없어서 생긴 사고가 아니다. '설명할 수 없는 통제', 즉 Unaccountable(비책임·비추적) 상태가 만든 거버넌스 실패다. 방화벽이 아무리 견고해도 내부 권한이 과도하고 절차가 느슨하면 통제는 무너진다. 카드사가 반드시 답해야 할 질문은 단순하다. 누가(Who), 왜(Why), 무엇을(What) 봤는가. 그리고 그 이유가 정당했음을 감사 가능한 증거(Audit-Ready Evidence)로 바로 제시할 수 있는가. 이 능력이 Accountability(책무성)의 핵심이며 신뢰가 생명인 금융사가 갖춰야 할 생존 조건이다. 기술의 실패가 아닌 ‘거버넌스’의 붕괴 2014년 카드 3사 대규모 정보 유출 사태 이후 보안 투자와 규제 정비는 강화됐다. 그럼에도 유사 사고가 반복되는 이유는 '장비를 도입하면 안전하다'는 전제가 더 이상 유효하지 않기 때문이다. 최근 사고의 경로는 외부 해킹에 그치지 않는다. 내부 직원, 협력업체 인력, 그리고 허술한 권한 관리가 결합해 방화벽 안쪽에서 사고가 터진다. 현장에서 특히 문제가 되는 지점은 의외로 단순하다. 업무 편의를 이유로 민감 정보 접근 권한이 넓게 부여되고, 퇴사나 보직 변경 이후에도 권한이 제때 회수되지 않는 사각지대가 생긴다. 외주·협력사 계정이 공유되거나, 로그가 제대로 남지 않는 운영도 반복된다. 연 1회 점검이나 사후 표본 감사는 '일이 벌어진 뒤'에야 움직인다. 내부통제는 서랍 속 서류가 아니라 현장에서 매일 작동하는 시스템이어야 하며, 그 작동은 언제든 증명 가능해야 한다. 글로벌 규제의 경고: ‘노력’이 아니라 ‘증명’하라 해외 사례는 내부통제 실패가 ‘운이 나빠서’ 생긴 일이 아니라, 구조가 허술할 때 반드시 생기는 결과임을 보여준다. 캐나다 프라이버시 위원회(OPC)의 데자르댕(Desjardins) 데이터 유출 조사(PIPEDA Report of Findings #2020-001)는 970만명의 회원 정보 유출 원인이 외부 해킹이 아니라 악의적인 내부 직원의 장기간 정보 탈취였음을 지적한다. 감시 장치가 있어도 내부자의 비정상적인 접근을 걸러내지 못하면, 결국 통제 프로세스 부재가 치명타가 된다는 뜻이다. 미국 SEC가 모건스탠리(Morgan Stanley)에 부과한 제재(Press Release 2016-112)도 같은 메시지를 준다. 쟁점은 해킹 기술의 정교함이 아니라, 고객 데이터를 보호할 정책과 절차를 세워 놓고 실제로 작동시켰는가였다. 여기에 더해 EU의 디지털 운영 탄력성 법(DORA)은 금융사의 리스크 관리를 제3자(ICT 공급자)까지 확장하며, 말뿐인 체계가 아니라 상시 운영과 증거 제출 능력을 요구한다. 글로벌 흐름은 명확하다. '사고를 0으로 만들라'가 아니라 '통제가 늘 작동하고 있음을 증거로 입증하라'는 요구다. 제로 트러스트와 증거 사슬: ‘도입’이 아니라 ‘구현’이 핵심이다 많은 조직이 제로 트러스트(Zero Trust)를 말한다. 그러나 이는 유행하는 솔루션을 사는 일이 아니다. NIST SP 800-207이 정리하듯, 제로 트러스트는 “절대 믿지 말고 계속 검증하라”는 운영 철학이다. 경계(망) 중심이 아니라 자원(Resource)과 행위(접근) 중심으로 통제하라는 뜻이다. 카드사에 필요한 것은 제로 트러스트의 도입 선언이 아니라 감사-ready 구현이다. 최소 권한 원칙에 따라 권한은 필요한 시간만큼만 부여되고 자동 회수돼야 한다. 조회·추출·승인 권한은 서로 분리돼야 한다. 모든 행위는 단순 로그가 아니라 위·변조가 불가능한 감사 증거로 남아야 한다. 이상 행위가 감지되면 차단과 소명 요구가 자동으로 붙는 구조여야 한다. 특히 카드사는 고객 거래에 적용하던 이상거래탐지(FDS)의 시선을 내부자로 돌려야 한다. 대량 조회, 야간 접속, VIP 고객 집중 검색, 비인가 매체를 통한 반출 시도는 업무상 필요가 아니라 리스크 이벤트로 정의돼야 한다. 하지만 탐지는 출발점일 뿐이다. 핵심은 증거 사슬(Evidence Trail)이다. 이상 징후가 잡히면 자동 차단 또는 추가 인증이 이어지고, 접근 사유가 기록되며, 승인과 기록 봉인이 이뤄지고, 사후 리뷰로 연결되는 과정이 끊김 없이 이어져야 한다. 그래야 '누가, 왜 봤는가'라는 질문에 조직이 즉시 답할 수 있다. 이것이 진정한 Audit-Ready 상태다. CEO의 질문이 바뀌어야 한다: '우리는 설명할 수 있는가?' 금융의 본질은 신용(Credit)이며, 디지털 경제에서 신용은 곧 데이터 신뢰다. 이는 마케팅으로 만들 수 없고, Accountability(책무성)로만 유지된다. 내부통제 고도화는 비용이 아니라 기업 가치를 지키는 경영 인프라다. 이제 CEO와 이사회가 던져야 할 질문은 '보안 솔루션을 더 사야 하는가'가 아니다. 질문은 이렇게 바뀌어야 한다. '우리는 지금 당장 설명할 수 있는가(Are we Accountable?)' '감사 요청이 내일 들어와도, 누가 왜 봤는지 증거로 제출할 수 있는가(Are we Audit-Ready?)' 그리고 한 걸음 더 나가야 한다. 내부자와 협력업체까지 포함해 권한을 최소화하고, 이상 접근을 실시간으로 막고, 그 전 과정을 변조 불가한 증거로 남기는 체계를 경영 KPI로 관리하고 있는지 스스로 물어야 한다. 답이 ‘아니오’라면, 내부통제는 IT 부서의 과제가 아니다. 경영진의 결단 과제다. 기술을 넘어 사람, 프로세스, 문화를 관통하는 상시 내부통제 체계만이 고객 신뢰를 회복하고 미래 생존을 담보할 열쇠다. 저작권자 © 대한금융신문 무단전재 및 재배포 금지 *동영상 및 원문 링크: https://www.kbanker.co.kr/news/articleView.html?idxno=223716