[삼성의 카드②] 삼성카드의 모니모, 혁신 이면에 숨은 ‘보안 리스크’
플랫폼 혁신 외치지만…정보보호 예산, 업계 평균 ‘하회’ 직원이 고객 정보 유출…반복되는 내부 통제 실패 사례 빛바랜 1등…모니모 운영리스크 관련 금융당국 제재도
삼성금융네트웍스(삼성생명·화재·카드·증권)가 통합 플랫폼 ‘모니모(Moni의 대규모 개편을 추진하고 있다. 명분은 ‘하나의 삼성금융’을 실현하기 위한 고객 데이터 통합과 서비스 효율화다. 그러나 삼성카드가 통합의 중심이자 실질적 운영사로서 모든 부담을 안는 구조는 업황 부진과 맞물려 리스크 요인으로 부상하고 있다. 카드업은 이미 가맹점 수수료 인하·소비 둔화·디지털 전환 비용 증가 등 복합적 압박에 직면했고, 3분기 실적은 전년 대비 4.2% 감소했다. 더불어 보험 설계사 채널 폐지, 소비자 반발, 내부 계열 간 이해 충돌이 얽히며 ‘모니모 통합’은 새로운 시험대가 되고 있다. 본지는 이번 기획을 통해 삼성카드 중심 통합전략의 구조적 불안과 최근 불거진 소비자 후생 문제 등을 조명한다.
【투데이신문 김효인 기자】삼성카드가 ‘딥체인지(Deep Change)’를 내세워 데이터 통합과 플랫폼 혁신을 가속화하고 있지만, 정작 그 토대가 될 보안 체계는 후퇴하고 있다는 지적이 제기된다. 외형적 성장 속도가 빨라질수록, 내부통제와 정보보호 기반은 상대적으로 약화되고 있다는 점에서 업계 1위 카드사로서의 ‘보안 신뢰’가 흔들린다는 우려다.
7일 금융권에 따르면, 삼성카드는 최근 3년간 IT 예산 대비 정보보호 관련 지출 비율을 지속 축소했다. 2021년 약 14% 수준이던 정보보호 예산 비중은 올해 들어 8% 안팎으로 낮아졌으며, 이는 카드업계 평균(10~12%)에도 미치지 못하는 수치다.
해당 수치는 단순한 회계상의 변동을 넘어, 기업이 보안을 얼마나 전략적 자산으로 인식하고 있는지를 보여주는 바로미터로 볼 수 있다.
특히 금융권 전반이 해킹과 내부 정보유출 사고에 몸살을 앓는 상황에서, 삼성카드가 그룹 통합 플랫폼 ‘모니모(Monimo)’를 확장하는 시점에 오히려 보안 예산을 줄였다는 점은 구조적 모순으로 지적된다. 업계에서는 “혁신의 지속 가능성은 기술이 아니라 보안에서 결정된다”는 경고가 나온다.
‘외부 해킹 無’ 자부심 뒤 맹점…내부 통제 실패는 반복
삼성카드는 외형적 혁신과 디지털 전환을 추진해왔지만, 내부통제 시스템의 근본적 취약성은 오랜 기간 개선되지 못했다.
2011년에는 영업직원이 고객정보 수십건을 외부에 유출해 경찰 수사가 진행됐고, 2012년에도 내부직원에 의한 192만건의 정보 무단유출과 권한 오남용 사건이 이어졌다.
당시 삼성카드는 유출 사실을 내부적으로 먼저 인지했음에도 경찰 신고와 공개 발표를 최대 10일가량 지연했으며, 유출 규모 또한 축소 발표했다는 비판을 받았다. ‘외부 공격은 막았지만 내부 통제엔 취약하다’는 평가가 굳어진 계기였다.
이후에도 유사한 문제는 반복됐다. 2022년 ‘모니모’에서 고객 정보가 타인에게 노출되는 사고가 있었고, 2024년에는 금융감독원으로부터 ‘경영유의 5건·개선 14건’ 등 총 19건의 제재를 받았다. 본인확인 절차 미흡, 개인정보 관리 부실, IT 침해 대응 훈련 미비 등이 주요 지적사항이었다.
금감원은 당시 “모니모 운영 리스크 관리체계가 허술하다”며 “계열사 전산 변경 시 사전 검증 없이 사후 확인만 하는 구조”를 문제 삼았다. 외형적 혁신은 있었지만, 그 속을 지탱할 내부통제의 체질 개선은 여전히 더디다는 비판이 뒤따랐다.
“통합이 리스크로”…모니모 집적 구조의 양면성
모니모는 삼성생명·화재·증권·카드 등 삼성 금융계열사 고객정보와 서비스를 한데 묶은 ‘슈퍼앱’이다. 예금·투자·보험·카드 업무를 원스톱으로 관리할 수 있어, 그룹 차원의 시너지 창출과 초개인화 서비스 구현이 가능하다.
하지만 이러한 통합 구조는 ‘단일 실패(single point of failure)’의 위험을 내포한다. 하나의 전산 오류나 보안 취약점이 그룹 전 계열사로 확산될 수 있기 때문이다.
실제로 2022년 시스템 수정 과정에서 개발자의 단순 실수로 고객 344명의 투자·계좌 정보가 타인에게 노출된 사고가 발생했다.
해당 사례는 “작은 오류 하나가 플랫폼 전체로 확산될 수 있다”는 구조적 위험을 보여주는 대표적 사건으로 꼽힌다.
금감원도 최근 삼성카드 전산·보안 점검 결과에서 “계열사 인프라 변경 시 보안 영향평가나 사전 테스트 없이 사후 점검만 수행하고 있다”며 “사고 발생 시 대체 수단 마련 등 근본적 보완이 필요하다”고 지적했다.
“보안은 비용 아닌 보험료”…효율화 뒤 불안한 균형
삼성카드는 비용 효율화 기조를 유지하며 3분기 순이익이 전년 동기 대비 4.2% 감소했음에도 업계 1위를 지켰다. 그러나 마케팅비와 판관비를 대폭 줄이는 과정에서 보안 인프라까지 감축된 점은 우려를 낳는다. 실제 정보보호 예산은 IT 예산의 8% 내외로, 업계 평균(10~12%)보다 낮은 수준이다.
한 금융권 관계자는 “통합 서비스 구조에서는 접근권한 관리, 데이터 전송 과정, 다층 보안설정 등에서 취약점이 생기기 쉽다”며 “결제·신용정보 등 핵심 DB가 노출되면 단일 사고로도 시장 전체 신뢰가 흔들릴 수 있다”고 경고했다.
또 다른 정보보호 전문가는 “초개인화·통합 플랫폼 시대, 한 번의 약점이 전체 네트워크의 집단 리스크로 이어질 수 있다”며 “이제 정보보호 투자는 비용이 아니라 ‘사고 예방을 위한 보험료’이자 금융 플랫폼 신뢰의 핵심 조건”이라고 강조했다.
모니모와 같은 통합 금융 앱이 태생적으로 지닌 위험성을 감안할 때, 보안 강화는 선택이 아닌 필수라는 지적도 나온다.
아주대 사이버보안학과 곽진 교수는 “보안 투자는 단순한 비용이 아니라 운영 전반의 일관성과 효율성 확보가 핵심”이라며 “여러 계열사의 서로 다른 규정과 기술 수준을 통합하는 만큼, 체계적 관리와 인력 투자가 병행돼야 한다”고 말했다.
이어 “통합 구조는 해킹이나 사고 발생 시 피해 범위가 클 수밖에 없다”며 “보안과 효율성은 언제나 상충 관계에 있기 때문에, 두 축의 균형을 세밀하게 조율하는 접근이 필요하다”고 덧붙였다.