현대해상이 직무별 맞춤형 보안교육을 업계 최고 수준으로 실행하고 있다. 정보기술(IT)·정보보호 부문 전문인력을 대상으로 장시간의 전문교육을 실시하고, 고도화된 인프라로 개인정보 유출 '제로'에 도전할 방침이다.

12일 현대해상에 따르면 전 직원 평균 사이버 보안교육 이수 시간은 9.5시간이며 IT 담당은 10.5시간, 정보보호 인력은 최대 15.5시간에 이른다. 직무별 맞춤교육으로 준법감시·소비자보호·IT기획 담당자에게 전문교육을 제공하고 신입 직원에게는 집합·온라인 병행교육을 실시해 보안역량을 체화하는 데 중점을 뒀다.

IT 수탁자도 교육 대상에 포함된다. 연 4회 피싱 대응 이메일 훈련과 연 1회 침해사고 대응 모의훈련도 진행된다. 이를 위해 금융보안원과 사이버원 등 침해 대응 전문기관과 협력해 24시간 365일 침입 탐지 및 보안 관제를 운영하고 있다.

현대해상은 침입차단 시스템, 침입방지 시스템, 분산서비스거부(DDoS) 방지 시스템, 지능형 위협대응 시스템 등 다층 보안 인프라를 갖췄다. 회사 관계자는 "고도화된 정보보호 인프라 기반에서 기존 보안 수준을 더욱 견고히 유지하는 것이 중요하다"며 "취약점 발생 가능성을 상시 점검하고 필요할 경우 개선·강화하는 노력을 지속하고 있다"고 말했다. 이어 "사용기한이 도래하는 정보보호 시스템은 적시에 교체하며 보안 패치, 유지보수, 기능 강화 등으로 대응력을 꾸준히 유지하고 있다"며 "신규 도입 시스템과 대고객 홈페이지, 모바일 앱 등 외부 노출 시스템도 상시적으로 취약점을 점검하고 연 2회 외부 전문가의 점검을 거친다"고 덧붙였다.

현대해상은 지난해 말부터 최고정보보호책임자(CISO)를 맡은 서홍원 상무가 정보보호위원회를 이끌고 있다. 서 상무는 카이스트 기계공학 석사로 넷마블과 카카오엔터프라이즈에서 CISO로 일한 바 있다. 부임 전에는 현대해상 지속가능실 수석연구위원으로 활동하며 보안과 환경·사회·지배구조(ESG) 전반의 전략을 수립했다.

정보보호위원회는 CISO와 정보보호부서장, 준법감시부서장, IT기획·인프라·시스템부서장 등이 참여해 기술·법률·운영 전반의 보안 의제를 심의·의결한다. 이 같은 조직적 의사결정 체계는 리스크 식별과 대응 속도를 높이는 데 기여한다.

현대해상의 지난해 말 기준 정보보호 예산은 전체 IT 예산의 7.6%를 차지한다. 비율만 보면 경쟁사보다 낮은 편이지만 실시간 통합보안관제, 출력물 통제, 정기 모의해킹·취약점 진단 등  용처가 분명하다는 것이 차별점이다.

정보보호관리체계(ISMS) 인증은 2016년 취득 이후 매년 금융보안원의 심사를 받아 자격을 유지해왔다. 외부 주문 보안 실태점검, 수탁업체 점검, 정보보안 점검의 날 등 정기 진단으로 사전 대응 중심 보안 체계를 확립했다.

개인정보 보호는 디지털저작권관리(DRM), 개인정보 검색 및 출력물 통제 시스템 도입과 월 단위 과다조회 점검, 위탁 업체 관리 등이 균형을 이룬다. 내부관리계획은 매년 최고경영자(CEO)에게 보고하며 유출 시 사규에 따라 엄격한 징계가 이뤄진다.

현대해상은 2025~2027년 중장기 전략으로 △지능형 이상행위 모니터링 고도화 △라이프사이클 기반의 개인정보 활용 통제 등을 추진하면서 개인정보 보호 수준을 높이고 있다.

업계 관계자는 "현대해상은 전사적 교육과 조직적 의사결정 등으로 보안대응력을 높이고 있다"며 "이 같은 노력은 장기적 관점에서 실질적 성과로 이어질 것"이라고 평가했다.

박준한 기자