[칼럼] 보이스 피싱 검거율 1%, 기업이 보안 자율권 가져야 타개 가능

정부--해커 검거 아닌 기업 규제권 강화에 집중, 기술 도입 발목 잡아
정부 주도의 사전 규제 아닌 금융기업이 주체가 되는 '자율과 책임'의 시장 원리로 가야
규제검토와 승인 소요기간 평균 6개월~1년, 보이스피싱 수법 1~2개월 단위로 진화

매년 수천억 원 규모로 발생하는 보이스피싱 범죄 앞에서 정부의 대책은 무기력하기만 하다. 그 이유는 정부가 금융기관을 보안 혁신의 주체가 아닌, 단순한 감독의 대상으로만 취급해왔기 때문이다. 이제는 금융사에 보안의 자율권을 부여해 시장 경쟁을 유도하고, 국가는 정보 치안이라는 본연의 임무에 집중하는 거버넌스의 대전환이 필요하다.

사전규제란 정부가 사고 예방을 명목으로 망분리 의무화, 특정 보안 솔루션 설치 등 기업의 보안 방식을 사전에 일일이 지정하는 '포지티브 규제' 체계를 의미한다. 이러한 규제의 가장 큰 문제는 금융기관이 해커와의 기술 전쟁이 아닌, 정부의 '체크리스트 통과'라는 행정 업무에 자원을 매몰시킨다는 점이다.

범죄자 검거가 원활하지 않은 근본적인 이유는 정부가 민간 기업을 감독하는 '규제권 행사'에 행정력을 집중하느라, 정작 국가 본연의 책무인 '정보 안보 및 수사 역량 강화'를 방기했기 때문이다. 금융기업 또한 이상한 곳에 힘을 쓰느라 정작 보안체계 강화에 힘을 쓰지 못하고 있다.

금융권에 행해지는 사전 규제는 보안 신기술 도입을 늦추는 역설을 야기한다. 금융보안원의 조사에 따르면, 클라우드나 AI 신기술을 도입할 때 규제 검토와 망분리 예외 승인에 소요되는 기간이 평균 6개월에서 1년 이상 걸린다. 그러나 보이스피싱 수법은 평균 1~2개월 단위로 진화하는 기술적 우위를 점하고 있다. 정부의 사전 규제가 기술 도입의 발목을 잡고 있는 격이다.

뿐만 아니라 기업들이 사전규제에 태우는 행정 비용에 비해, 보이스피싱 범죄자 검거율은 현저히 떨어진다. 국내 보안 전문가 학계 논문들에 의하면 기업이 실질적 방어 기술 투자보다 규제 이행을 위한 인프라 구축과 컨설팅에 예산의 40~50%를 우선 배정하는 문제가 있다.

정작 국가의 몫인 '범죄 총책 검거'는 1%대에 머물고 있다. 2023년 기준 보이스피싱 검거 인원은 약 2만5000명 수준이나, 이 중 '총책(주범)' 검거 비중은 1~2% 내외이다. 이는 명백한 정부의 책무 유기이자 민간에 대한 비용 전가를 뜻한다.

이제는 정부 주도의 사전 규제가 아닌 금융기업이 주체가 되는 '자율과 책임'의 시장 원리로 가야 한다.

자율공시는 곧 금융기업의 경쟁력 확보 수단이다. 결국 시장경제 시스템 속 기업은 고객의 선택에 따라 입지가 좌우된다. 이러한 문제 현황 아래 결국 고객은 '내 돈을 가장 잘 지켜주는 은행'을 선택할 것이며, 보안은 은행의 브랜드 가치를 결정짓는 핵심 품질이 된다.

국가 정부 본연의 책무는 정보 치안이다. 가령 해외 사기 조직의 수법과 최신 범죄 데이터 자료를 공공재화해 충분히 금융기업에 공급해야 한다. 그리고 이를 바탕으로 은행은 자사 고객에게 맞는 최적의 방어망을 자율적으로 구축할 수 있게 된다.

기업으로 하여금 능동적인 보안 체계를 통해 더욱 실질적인 보이스피싱 대응 체계를 발전시킬 수 있다. 가령, 망분리 사전규제가 없다면 은행은 최신 클라우드 기술이나 외부 AI 보안 솔루션을 즉시 도입할 수 있다. 금융기업에 대한 사전규제를 걷어내고 자율성을 부여한다면, 기업은 범죄자의 진화 속도를 앞지르는 안전한 보안체계를 구축할 수 있다.

결국 해법은 명확하다. 정부는 기업이 자율적으로 '안심 보안’을 경쟁할 수 있는 환경을 조성하고, 스스로는 사이버 영토를 지키는 강력한 파수꾼이 되어야 한다. 자율과 책임이 시장에서 작동할 때, 비로소 디지털 혁신과 시민의 안전이라는 두 마리 토끼를 잡을 수 있다.

김나영 자유기업원 인턴 연구원