개인정보 유출 공포에···삼성카드, 보안 투자 확대 '선제 대응'

정보보호 투자 확대와 전담 조직 신설 추진2023년~2025년 개인정보유출 '0건' 기록 글로벌 수준의 보안 체계 구축 목표

그래픽=박혜수 기자

카드업계가 잇따른 개인정보 유출 사고로 정보보호 강화에 속도를 내고 있다. 롯데카드와 신한카드 등 주요 카드사에서 고객 정보 유출 사고가 발생하면서 보안 역량이 핵심 경쟁력으로 떠오른 가운데 삼성카드는 AI 기반 보안 체계 구축과 정보보호 투자 확대를 골자로 한 중장기 전략을 내놓고 선제 대응에 나섰다.

한입뉴스

OpenAI의 기술을 활용해 기사를 한 입 크기로 간결하게 요약합니다.

전체 기사를 읽지 않아도 요약만으로 핵심 내용을 쉽게 파악할 수 있습니다.

Quick Point!

카드업계에서 개인정보 유출 사고가 잇따르며 정보보호 강화가 핵심 경쟁력으로 부상

삼성카드는 AI 기반 보안 체계 구축과 정보보호 투자 확대를 중심으로 중장기 전략을 발표

보안 체계 고도화 및 내부통제 강화에 집중

배경은

롯데카드, 신한카드, 우리카드 등 주요 카드사에서 대규모 개인정보 유출 사고 발생

롯데카드는 약 279만명 정보 유출로 금융감독원 제재 통보

신한카드, 우리카드도 수만~수십만 건 개인정보 유출 사례 보고

삼성카드 전략

공세적 사이버 위협 대응, 규제·기술 변화 적기 대응, 선제적 내부통제 강화 등 3대 추진 방향 설정

올해 자산위험 관리 시스템, AI 기반 침해 탐지 체계 등 중점 추진

내년 데이터 보안 체계 고도화, 2028년 글로벌 수준 보안 체계 구축 목표

숫자 읽기

삼성카드 정보보호 예산 비중 지난해 11.7%, 전년 대비 3.1%p 증가

정보보호 전담 인력 전체 IT 인력의 18.4% 수준 유지

정보 침해 건수, 개인식별정보 침해 건수, 침해 사고 비율 2023년~2025년 모두 0건, 0건, 0% 기록

개인신용정보 관리 실태 평가 100점, ISMS-P·PCI-DSS 인증 유지

내부통제 및 조직 운영

정기·수시·상시 감사 체계로 16개 업무 영역 점검

CISO, CPO, CIAP 등 책임자 선임 및 관련 법규 준수

'모니모 보안파트' 신설 등 플랫폼 보안 역량 강화

정보보호위원회, 대표이사·이사회 보고 등 최고경영진 차원의 관리 체계 운영

AI 기반 보안체계 구축···2028년 'Beyond Top-tier' 목표

29일 카드업계에 따르면 삼성카드는 최근 발간한 ESG(환경·사회·지배구조) 보고서를 통해 정보보호 중장기 전략을 공개했다.

삼성카드는 '변화와 혁신을 통한 안전하고 신뢰성 있는 금융 서비스 제공'을 정보보호의 전략적 목표로 제시하고 ▲공세적 사이버 위협 대응 ▲규제·기술 변화 적기 대응 ▲선제적 내부통제 활동 강화 등 3대 추진 방향 아래 총 6대 중점 과제를 추진하고 있다.

올해는 자산위험 관리 시스템 구축과 위협정보 활용 범위 확대, 중요(특별) 권한 관리 통제 강화, AI 기반 사이버 침해 정밀 탐지 체계 구축을 중점 추진한다.

내년에는 데이터 보안 체계와 통제 기준을 고도화하고 자율 보안 체계를 구축해 리스크를 최소화할 계획이다. 2028년에는 AI 보안 통제 항목을 확대 적용하고 사이버 침해 정밀 탐지 체계를 완성하는 한편 외부 인프라까지 통합 대응하는 글로벌 수준의 보안 체계를 구축한다는 목표다.

보안 투자도 확대하고 있다. 삼성카드는 지난해 정보보호 예산을 전체 IT 예산의 11.7%로 편성했다. 이는 전년(8.6%)보다 3.1%포인트 증가한 수준이다. 정보보호 전담 인력도 전체 IT 인력의 18.4% 수준으로 유지하며 전문성을 강화하고 있다.

또 개인정보 유출과 해킹, DDoS 공격 등에 대응하기 위한 전사적 대응 체계를 구축하고 매년 1회 이상 보안사고 대응 훈련을 실시하고 있다. 수원전산센터를 메인센터로, 춘천전산센터를 재해복구(DR)센터로 운영하며 연 1회 이상 DR 전환 훈련도 진행해 재난이나 시스템 장애 상황에서도 서비스 연속성을 확보하고 있다.

카드업계 관계자는 "최근 개인정보 유출과 해킹 등 사이버 위협이 갈수록 고도화되면서 금융회사의 보안 역량이 핵심 경쟁력으로 떠오르고 있다"며 "AI 기반 보안 시스템과 정보보호 투자 확대는 앞으로 카드업계의 주요 경쟁 요소가 될 것"이라고 말했다.

업계는 개인정보 유출 '몸살'···삼성카드 3년 연속 침해사고 '0건'

그래픽=이찬희 기자

삼성카드의 정보보호 강화는 최근 카드업계에서 개인정보 유출 사고가 잇따르는 상황과 맞물려 있다.

롯데카드는 지난해 약 279만명의 고객 개인정보가 유출되면서 금융감독원으로부터 4개월 반의 영업정지와 50억원의 과징금을 사전 통보받았다. 우리카드는 2024년 가맹점 대표자 약 7만5000명의 개인정보가 카드모집인에게 유출됐으며 신한카드는 2022년부터 지난해까지 가맹점주의 휴대전화번호와 사업자등록번호 등 약 19만2000건의 정보가 외부로 유출됐다.

반면 삼성카드는 정보보안 분야 핵심 지표에서 안정적인 성과를 이어가고 있다.

정보 침해 건수와 개인식별정보 침해 건수, 정보침해 사고 중 개인식별정보 침해 사고 비율은 2023년부터 2025년까지 모두 0건, 0건, 0%를 기록했다. 개인신용정보 활용·관리 실태 상시평가에서는 만점인 100점을 획득했으며 ISMS-P와 PCI-DSS 인증도 유지하고 있다.

내부통제 체계도 강화하고 있다. 삼성카드는 정기·수시·상시 감사 체계를 통해 16개 업무 영역의 정보보호 수준을 점검하고 있다. 지난해에는 상시 감사 12회, 수시 감사 2회, 정기 감사 2회를 실시했으며 올해는 외부 침해 위협과 제3자 리스크 등 최근 정보보호 이슈를 반영해 자체 내부감사 체계를 운영할 계획이다.

삼성카드는 정보보호최고책임자(CISO), 개인정보보호책임자(CPO), 신용정보관리·보호인(CIAP)을 각각 선임해 신용정보법과 개인정보보호법, 전자금융거래법 등 관련 법규를 준수하고 있다. 현재 CISO는 정보보호 학·석사 학위와 15년 이상의 정보보호 및 IT 경력을 보유한 전문가다.

지난해 '모니모' 플랫폼 서비스 확장에 대응해 정보자산의 신뢰성과 안정성을 높이기 위한 전담 조직도 신설했다. 이에 따라 정보보안담당 직속으로 '모니모 보안파트'를 꾸려 플랫폼 보안 관리 역량을 집중했다.

아울러 정보보호위원회를 통해 정보보호 및 IT 보안 관련 정책을 심의·의결하고 있다. 위원회 의결 사항은 매월 대표이사에게 보고되며 분기마다 위험관리집행위원회와 공유된다. 개인정보보호의 신뢰성과 안전성에 중대한 영향을 미치는 사안은 이사회에 직접 보고하는 등 최고경영진 차원의 관리·감독 체계도 운영하고 있다.

삼성카드 관계자는 "급증하는 개인정보 유출 사고와 해킹을 비롯한 대내외 사이버 위협에 선제적으로 대응하고 견고한 정보보호 체계를 확립하기 위해 정보보호 투자를 지속적으로 확대하고 있다"고 밝혔다.