삼성화재 보안전략의 키맨으로 보험 업계 사상 첫 여성 최고정보보호책임자(CISO)에 오른 조성옥 상무가 주목 받고 있다. 관련 협의체에 기반한 통합관리 체계와 전방위 훈련·점검을 총괄하는 조 상무는 현재도 '예방 중심'의 보안을 강조한다.

5일 삼성화재에 따르면 조 상무는 카이스트 산업경영학 석사 출신으로 삼성화재에서는 정보기획 파트와 디지털·IT혁신 조직을 이끌었다. 2020년부터 전사 보안 컨트롤타워를 맡아왔다. 현재 주요 대형 보험사 중 CISO가 여성인 곳은 삼성화재가 유일하다.

조 상무는 월 단위 보안현황을 대표이사에게 직접 보고하며 정보보호위원회, 보안 실무협의회, 이사회 등 전사 협의체를 구성해 보안정책을 심의·관리하고 있다.

삼성화재는 보안관리 체계를 사전차단 구조로 전환했다. 침해 시도 감지, 악성메일 훈련, 모의해킹, 디도스(DDoS) 대응 훈련 등을 연중 실시하는 것도 이의 일환이다. 실제 사고 발생 시 언론 공지를 포함한 대응 절차까지 문서화했다.

아울러 정보수탁사에 대한 실사를 강화했다. 삼성화재는 170여개 수탁사를 연 1회 정기 실사해 △사규 정비 여부 △기술적 보호조치 이행 상태 △유출대비책 등의 항목을 점검한다. 필요할 경우 재교육, 개인정보 파기 등 후속조치도 병행한다.

기술보안 부문에서는 클라우드 환경 확산에 대비해 클라우드보안형상관리(CSPM) 솔루션을 구축했으며 이미지파일 내 개인정보 검출 시스템도 운영하고 있다. 업무망과 인터넷망을 분리 운영하며 데이터베이스(DB) 개인정보는 암호화 저장 이후 목적을 달성하는 즉시 파기하는 방식이다.

CISO와 정보기술(IT) 인력뿐 아니라 계약직, 모집인(설계사), 자회사 직원까지 모두 보안교육 대상에 포함한 것도 눈에 띈다. IT인력은 연 9시간 이상, 임원은 3시간 이상, 전 직원은 6시간 이상 보안교육을 의무적으로 이수해야 한다.

중장기적으로는 인공지능(AI) 등 신기술 확산에 대비한 보안정책 강화(2026년), 보안성 사전심의 전면화(2027년) 등의 로드맵도 수립한 상태다. 지난해 기준 전체 IT예산 3654억원의 약 12%인 425억원을 정보보호에 투입하는 등 예산도 적극 반영했다.

업계 관계자는 "삼성화재는 대응을 넘어 '사고 자체가 일어나지 않는 구조'를 지향한다고 볼 수 있다"며 "(실제 상황이 발생하면) 보안관리의 실행력이 돋보일 수 있다"고 말했다.

이밖에도 삼성화재는 손해보험 업계 최초로 정보보호관리체계의 국내 인증인 ISMS-P를 획득했으며, ISO 27001 인증도 유지하고 있다. 내부 정보보호 규정을 위반할 경우 정보보호위원회와 인사위원회의 심의를 거쳐 징계 수위가 결정된다.

삼성화재 관계자는 "고객의 소중한 정보와 회사의 중요한 전략정보가 회사의 존속과 관련돼 있다는 사실을 인식하고 있다"며 "체계 구축 및 보완뿐 아니라 정기적인 정보보안 인식 내재화와 외부 인증 등까지 폭넓은 활동으로 정보자산을 보호하겠다"고 밝혔다.

박준한 기자