이 기사는 2025년 11월 05일 09:36 thebell 에 표출된 기사입니다.

삼성화재는 정보 자산을 글로벌 탑티어 수준으로 보호하는 것을 목표로 보안시스템을 구축하고 있다. 5년 가까이 정보보호최고책임자(CISO)를 맡고 있는 조성옥 상무가 정보보안 전략 및 실행을 주도하고 있다. 정보보안파트와 IT보안파트가 실무를 분담하고 있고 조 상무는 정보보호위원회 위원장을 맡아 주요 안건을 심의·의결한다.

삼성화재는 최근 발생하는 사이버 보안 사고에 대응해 철저한 보안관리체계를 수립해나갈 방침이다. 당국이 발표한 범정부 정보보호 종합 대책에 따른 세부 사항을 적극적으로 준수하기 위한 사전 준비 작업에 나섰다. 더불어 글로벌 선진 금융사의 보안 수준을 비교해 개선 과제들을 도출하는 등 선제적인 개선 활동에 나섰다.

◇조 CISO 산하 정보보안파트·IT보안파트 운영

삼성화재는 기업의 정보자산을 글로벌 탑티어 수준으로 안전하게 보호하는 것을 최우선 목표로 삼고 있다. 보안시스템 구축·운영을 통한 사전적 보안 관리 및 디지털 환경 변화에 따른 대응을 강화해 고객 개인정보 뿐 아니라 회사의 정보자산을 보호한다는 방침이다. 이문화 삼성화재 대표 또한 고객의 일상을 지키고, 더 나은 내일을 위한 고객 최우선 경영방침에 따라 고객정보 보호 및 해킹사고 예방 등을 통한 신뢰도 제고 등을 강조했다.


삼성화재의 정보보안 실무를 총괄하는 건 조성옥 상무다. 조 상무는 1971년생으로 충남대학교 통계학과, 한국과학기술원 산업경영학 석사를 졸업했다. 1997년 삼성화재에 입사한 후 정보기획파트장, ERP운영팀장, IT혁신팀장, 디지털혁신팀장 등을 거친 IT 전문가다. 이후 2020년 12월부터 CISO로 발탁됐다.

조 상무는 5년 가까이 CISO를 맡으며 여러 사이버 위험과 침해 사고로부터 회사의 정보자산을 안전하게 보호·관리하는 업무를 주도해왔다. 조 상무가 실무를 총괄하며 손해보험사 최초로 2023년 ISMS-P 및 ISO27001인증을 동시에 획득하며 국내외적으로 체계적인 정보보안 체계를 구축했음을 인정받았다. 또한 금융위원회 주관 개인신용정보보호 상시평가제 5년 연속 만점(S등급)을 받는 성과를 냈다.

조 CISO 산하에는 정보보호파트와 IT보안파트를 두고 관련 업무를 담당하고 있다. 정보보호파트에서는 개인정보와 관련한 외부 대응을 수행한다. 삼성화재 내 (개인)정보 보호 관련 정책 결정 등 주요 정책 결정 및 의사 결정을 수행하는 업무를 맡는다. 한편 IT보안파트는 정보보안과 관련한 기술적 보안 책임 부서로 DDoS 공격 예방 훈련, 악성메일 모의 훈련 등 기술 영역 업무를 수행한다.

그 외에도 사내 IT 시스템을 운영하는 보험IT운영파트, 서버 및 네트워크 등 IT 인프라 전반을 담당하는 인프라전략파트, 공식 홈페이지 및 다이렉트 홈페이지를 운영하는 고객점접지원파트 등이 정보 보안 및 외부 위협 대응 등을 지속적으로 관리하고 있다.

◇정부 종합 대책 적극 대응…고객 핵심 정보 암호화 및 정기 검검 진행

최근 대규모 해킹 사고가 잇달아 발생하며 정부가 발표한 정보보호 종합 대책 발표에 삼성화재도 대응에 나섰다. 현재 삼성화재는 해당 대책에 따른 세부 사항을 분석하고 실효성 있는 대안을 준비 중에 있다. 더불어 글로벌 탑티어 수준에 부합하는 보안 관리 체계 재정비에 나섰다. 글로벌 선진 금융사들과 보안 수준을 비교 진단하고 개선 과제들을 도출하는 등 선제적인 예방 활동에 나설 계획이다.

삼성화재는 기존에도 고객정보 및 중요정보 유출 방지를 위해 정기적으로 관리·물리·기술적 취약점 분석 등을 진행해왔다. DDoS 공격 예방 훈련, 악성메일 모의 훈련, 공개용 홈페이지 점검, 전자금융기반시설 점검 등을 지속 수행 중이다. 또한 정보보안 및 개인정보보호와 관련된 이상징후 패턴 분석을 통해 실시간 감시체계를 구축해 잠재적 보안 리스크에 대비하고 있다.

특히 고객의 핵심 결제정보 등을 포함한 정보에 각별히 신경쓰고 있다. 삼성화재는 주민등록번호·외국인등록번호·여권번호 등 고유식별정보 및 비밀번호, 주소, 신용카드번호, 계좌번호와 같은 개인정보를 안전하게 암호화하여 보관하고 접근을 통제한다. 임직원의 고객 정보 접근통제 및 고객정보 암호화 준수여부에 대해서는 매년 ISMS-P, ISO 27001 인증 심사와 내부 보안심의 등을 통해 이상여부를 점검한다.

그밖에도 삼성화재의 개인정보를 처리하는 모든 수탁사를 대상으로 매년 보안수준에 대한 점검을 실시하고 있다. 구체적으로는 사규 유무, 관리적/기술적 보호조치 활동 내역에 대한 실사를 통해 정보유출 및 사이버보안 대비책이 적절히 마련되어 있는지 점검한다. 그리고 개인정보 수탁사에 대한 정기적인 보안교육 수행 여부 및 개인정보의 주기적인 파기에 대한 내용 확인 등을 진행하고 있다.