교보생명이 최고정보보호책임자(CISO) 중심의 사내 시스템과 이사회 내 정보기술(IT) 전문 사외이사 선임 등으로 보안감독 기능을 강화하고 있다. 특히 IT 분야에서 오랫동안 경험을 쌓은 문효은 사외이사는 교보생명 이사회에서 보안 이슈 관리와 관련해 독보적인 존재라는 평가를 받는다.

문 이사는 고려대에서 정보통신학 석사 학위를 받았으며 카카오(옛 다음커뮤니케이션), GS홈쇼핑 등 정보통신기술(ICT) 업계에서 최고운영책임자(COO)와 대표이사로 일하며 전문성을 인정받았다. 2022년부터는 ATC파트너스 대표로 재임해왔다.

8일 보험 업계에 따르면 교보생명은 사이버 공격과 고객정보 유출에 선제 대응하기 위해 정보보호 전략을 고도화하고 있다. 정보보호 담당 임원에게 CISO·최고개인정보보호책임자(CPO)·신용정보관리보호인 등을 겸임시키고 정기점검과 위기대응 훈련을 병행하는 통합대응 체계를 운영하고 있다.

정보보안 총괄은 2022년부터 CISO를 맡아온 이남규 상무다. 그는 경영관리·정보계·보험시스템 등 교보생명 전산부문을 두루 거친 내부 출신이다. 개인정보보호 관련 안건은 이사회 보고를 거쳐 최고경영진에까지 공유된다.

업계 관계자는 "교보생명의 이사회 차원의 감독과 CISO 중심 체계가 맞물려 실질적인 보안역량 강화로 이어지고 있다"며 "외부 인증 획득 역시 이러한 통합적 관리의 결과"라고 설명했다.

정보보안 인프라는 자체 점검과 외부 감사 체계를 병행하고 있다. 내부 감사 및 개인정보보호 점검을 정기적으로 시행하며 금융위원회의 상시평가도 받는다. 사고 발생을 가정한 시나리오 기반의 훈련은 연 1회 의무화돼 있으며, 결과는 즉시 개선 조치로 이어진다. 2023년에는 금융보안원과 함께 이메일 지능형지속위협(APT) 공격 대응 훈련을 실시했다. 실제로 악성메일에 감염된 직원은 오프라인 교육을 추가로 받아야 한다.

또 외부 침해에 대응하기 위한 기술 기반 점검을 병행하고 있다. 해커 침입 시뮬레이션(모의해킹)을 포함한 전자금융기반시설 취약성 점검을 매년 외부 전문기관과 함께 수행하고 결과는 정보보호위원회를 거쳐 금융위원회에 보고된다.

교보생명의 정보보호 수준은 외부 인증과 평가로 검증된다. 2006년에는 정보보호관리체계(ISO 27001) 인증을 획득했고 2023년 9월에는 보험업무(설계사, 다이렉트채널 등)·서비스(홈페이지) 등에 대한 ISMS-P 인증을 받았다. 두 인증 모두 업계에서는 최초 획득이면서 최고의 가치로 평가된다.

개인신용정보 보호 수준도 업계 상위권이다. 지난해 금융보안원 상시평가에서 최고등급인 'S등급'을 획득했으며 법정점검과 자체 평가를 매년 실시하고 있다. 위탁사 관리도 강화했다. 보안역량을 갖춘 인력을 투입해 수탁사 실태점검을 확대했고 클라우드 환경을 운영하는 업체와의 합동점검도 정례화했다. 모든 위탁업무 담당자 대상 교육은 연2회 이상 실시된다.

임직원 및 재무설계사 대상 교육도 체계화됐다. 계층별 온오프라인 교육, 반기별 집체교육, '보안진단의 날' 프로그램 등 다양한 방식으로 보안인식을 제고하고 있다. 법령 개정 사항과 보안 이슈는 전사적으로 공유된다.

교보생명 관계자는 "정보보안과 개인정보보호는 경영안정성과 직결되는 핵심 리스크"라며 "지속적인 훈련과 인증으로 고객의 신뢰를 확보하겠다"고 밝혔다.

박준한 기자