이 기사는 2025년 11월 12일 16:22 thebell 에 표출된 기사입니다.

메리츠화재해상보험은 그룹 차원의 '사고 제로화' 전략을 중심으로 정보보호 체계를 구축하고 있다. 안운기 CISO(최고정보보호책임자) 상무를 필두로 한 정보보안팀이 관련 실무를 맡고 있다. 안 상무는 안건 심의 기구인 정보보호위원회 위원장으로 활동하며 현안에 대한 심의와 이사회 보고 등을 주도하고 있다.

메리츠화재는 최근 업계의 정보보호 기조 강화에 따라 선제적인 방어 체계를 구축하겠다는 방침을 세웠다. 아직 알려지지 않은 신규 침해사고 및 악성코드에 대응할 수 있는 시스템을 자체적으로 마련할 계획이다. 더불어 외부 인증 등을 통한 대외적 역량 강화도 중요한 과제로 꼽힌다.

◇정보보안·정보지원·보안품질파트 실무 분담…정보보호위원회 운영

메리츠금융그룹은 정보유출 및 개인정보 침해 사고 'Zero'를 목표로 정보보호 및 개인정보 관련 중장기 목표를 수립 및 관리하고 있다. 메리츠화재 또한 그룹 방침에 발맞춰 매년 정보보호 계획을 수립한다. 그룹 차원 관리 감독뿐 아니라 각 자회사도 부문별 특성을 반영한 자체 정보보호 체계를 운영하며 그룹 전체의 보안 수준을 강화하고 있다.

메리츠화재의 CISO는 안운기 상무다. 안 상무는 1976년 12월생으로 한양대학교 경영학 석사를 졸업했다. 메리츠화재에서 IT지원파트장, IT팀장 등을 지낸 정보보호 전문가다. 2023년 11월부터 정보보안팀장을 맡으며 정보지원파트장, 보안품질파트장을 겸직하고 있다.

안 상무가 총괄하는 정보보안팀은 총 3개의 파트를 운영 중이다. 정보보안파트는 정보보호 전략 및 운영 관리를, 정보지원파트는 신사업 추진 및 기획 업무를 담당한다. 보안품질파트는 개인정보 전략 및 정책 수립 업무를 맡고 있다. 메리츠화재에는 그 외에도 외주조직을 두고 침해사고 대응 관제를 통해 외부 취약점 및 공격에 대응하고 있다.

안 상무는 정보보호 관련 안건 심의 기구인 정보보호위원회 위원장으로도 활동한다. 해당 위원회를 통해 주요 정보보호 사안을 심의·의결하고 주요 사항은 이사회 보고를 통해 관리·감독하고 있다. 매년 1회 개인신용정보 관리 및 보호실태 점검결과 등을 이사회에 보고하고 있다.

◇주요 손보사 대비 외부 인증 미흡

메리츠화재는 최근 업계 전반적으로 정보보호 기조가 강화되자 제로 트러스트(Zero Trust) 전략을 수립하고 있다. 정보보안 시스템을 체계적으로 구축 및 운영하는 데 더해 알려지지 않은 신규 침해사고와 악성코드에 선제적으로 대응할 수 있는 방어 체계를 마련하겠다는 방침이다.

외부 인증 등을 통한 보안 역량 검증 강화도 중요한 과제다. 국내 주요 보험사들은 국제표준 인증이나 정보보호관리체계인증(ISMS) 또는 개인정보보호관리체계인증(ISMS-P) 인증 등을 통해 정보보안 역량을 관리하고 매년 심사 및 검증을 받고 있다. 현재 삼성화재가 국내 최고 보안 수준이라 인정받는 ISMS-P 인증을 받았고 DB손해보험, KB손해보험, 현대해상 등도 ISMS 인증을 부여받은 바 있다.

메리츠화재는 2017년부터 홈페이지와 다이렉트 웹사이트에 대해 개인정보 보호 수준을 평가받는 'ePRIVACY PLUS' 인증을 획득했으며 매년 사후심사를 통해 인증을 유지 중이다. 총 60개 항목의 심사를 기반으로 한 해당 인증을 통해 개인정보 사고 예방을 위한 지속적인 모니터링을 강화하고 있다.