'개인정보 유출 사고 0건'

한화생명의 정보보안 수준을 단번에 알 수 있는 수치로, 지난해 보험 업계에서 크고 작은 사고가 발생했을 당시에도 이곳은 무풍지대였다. 회사 측은 최고정보보호책임자(CISO) 체제를 강화한 덕분이라고 설명했다.

6일 한화생명에 따르면 CISO가 통합보안 체계를 총괄하는 가운데 전체 정보기술(IT) 관련 예산의 12%가량을 보안 부문에 투입하고 있다. 회사는 관련 정책 수립부터 점검, 교육 체계까지 전방위로 사이버 공격 등에 대비한다고 설명했다.

한화생명은 최고경영진 직속의 개인정보보호 실무협의체와 정보보호위원회를 운영하고 있다. CISO로는 고려대에서 금융보안학 석사 학위를 받은 조병선 상무가 지난해 부임했다. 조 상무는 한화생명 IT보안팀장으로 실무경험을 쌓았고 현재도 이 직책을 겸하고 있다. 또 개인정보보호책임자, 신용정보관리·보호인, 고객정보관리인 등 다양한 직책을 가지고 있다.

정보보호 조직은 보안정책 수립, 침해사고 대응, 위험평가, 모의해킹 등 기술 기반은 물론 개인정보 유출 방지, 점검, 교육 등 관리 영역까지 포괄한다. 실무협의체는 25개 부서의 개인정보보호 담당자가 참여한 가운데 정보보호위원회와 함께 분야별 보안활동을 정기적으로 조율한다.

개인정보 보호 규정과 지침은 임직원뿐 아니라 공급 업체와 위탁 업체에도 동일하게 적용된다. 내부문서 보호를 위해 디지털저작권관리(DRM), 정보유출방지(DLP) 솔루션을 적용하며 개인정보 접속기록 이상행위 탐지 시스템을 도입해 이상징후를 사전에 알아낸다.

한화생명의 개인정보 유출 사고가 상대적으로 적은 것은 IT 위험 분석과 정기 보안점검, 비상대응 훈련을 병행한 결과로 해석된다. 연 1회의 IT 위험평가, 연 2회의 모의해킹, 연 4회의 침해사고 대응훈련 등 정례화된 점검과 함께 365일 24시간 보안관제센터도 운영하고 있다.

여기에 국제표준 인증(ISO27001·27017·27018)과 정보보호 및 개인정보보호관리체계(ISMS-P) 인증도 획득했다. 인증 범위는 전체 사업영역이며 매년 사후심사를 거쳐 관리된다. 데이터 품질관리 부문에서는 보험코어 시스템 내 통합고객 영역에서 최고등급(A등급)을 받았다.

이밖에도 한화생명은 매월 '정보보호 점검의 날'을 지정해 정규직과 비정규직을 포함한 모든 임직원을 대상으로 온라인교육, 법정교육, 캠페인을 시행한다. 직무별 맞춤형교육 외에도 가명정보 보호, 애플리케이션 보안교육도 매년 시행하고 있다. IT 보안인력의 경우 금융보안원 방문교육, 해킹 대응 훈련 등 외부 위탁교육도 병행한다.

정보보안 사고가 발생하면 매뉴얼에 따라 위기대응단을 즉시 구성할 수 있도록 준비했으며, 개인정보 유출 시 규정 위반자에 대한 징계 절차도 명확히 했다.

업계 관계자는 "랜섬웨어나 내부자 유출 등 전방위적인 위협이 확산되면서 정보보호 총괄자의 역할과 보안예산 확보가 핵심 경쟁력으로 떠오르고 있다"며 "CISO의 책임 범위를 명확히 하고 실효성 있는 내부통제 체계를 갖춰야 고객의 신뢰를 얻을 수 있다"고 말했다.

한화생명은 내년까지 정보보호 교육과 캠페인을 월 1회로 정례화하고 영업현장에서도 개인정보 보호를 위한 자율점검을 시행해 현장 중심의 보안문화를 정착시킬 계획이다. 2028년까지는 개인정보 이상징후 대응체계를 고도화하고 정보 활용의 안정성을 확보하는 한편 개인신용정보 주체의 권리를 보장할 수 있도록 중장기 전략도 마련했다.

한화생명 관계자는 "금융 분야의 보안사고는 여론 악화 등 평판 리스크를 유발하며 (금융사의 특성상) 비교적 큰 규모의 재무 리스크로 이어질 수 있다"며 "정기적인 보안점검으로 보안 수준을 확인하고 사전에 위험요소를 파악해 필요한 조치를 선제적으로 진행하며 전사적으로 보안 수준을 제고하는 데 힘쓰고 있다"고 밝혔다.

박준한 기자