이 기사는 2025년 11월 13일 07:34 thebell 에 표출된 기사입니다.

KB캐피탈이 사이버 보안 위협에 대응하며 운영 복원력을 강화하고 있다. IT 신기술과 정보보호 규제 변화에 맞춰 선진화된 관리체계를 구축하는 것이 목표다. 공격표면관리(ASM)를 활용해서는 외부에 노출된 IT 자산과 취약점을 발굴해 개선하고 있다.

그룹 통합 보안관제를 통한 방어 체계도 갖췄다. 공격 원점에 대해서 그룹 차원의 차단 조치를 수행하고 있다. 이는 원칙·목표 중심의 자율 보안 체계로의 전환에 능동적으로 대비하고 있음을 보여준다. KB캐피탈은 규제 준수 수준을 넘어 비즈니스 신뢰를 높이는 핵심 자산으로서의 정보보호 역량을 확보해 나간다는 방침이다.

◇선진화된 정보보호 관리체계 구축 중점 목표

KB캐피탈은 정보보호 의사결정 과정에서 단계별 역할을 명확히 하고 있다. 거버넌스 구조는 이사회와 정보보호위원회, 실무 검토로 구성된다. 단계별 체계는 외부 규제 변화에 신속히 대응할 수 있는 기반이 되고 있다. 이 가운데 정보보호위원회에서는 관련 부서 간 협의를 통해 정보보호 이슈에 대한 의사결정을 수행한다.

이러한 거버넌스 실행력은 정보보호최고책임자(CISO)인 이배봉 부사장이 책임진다. IT본부장으로서 개인정보보호책임자(CPO)와 신용정보관리보호인(CIAP) 등을 겸임하고 있다. 이 부사장은 KB국민은행 출신으로 차세대 추진, IT 기획, 테크인프라 등 다양한 IT 경험을 보유하고 있다. KB캐피탈에는 지난해 합류해 정보보호 체계 고도화에 힘쓰고 있다.


총괄 부서인 정보보호부도 IT본부 산하에 편제돼 있다. 정보보호부는 부서장과 IT 보안 담당 3명, 개인정보보호 담당 2명으로 구성돼 있다. IT 보안과 컴플라이언스 영역을 담당하며 IT개발·운영 부서와 협업하고 2차 통제 역할을 수행한다. 또한 준법추진부, 감사부 등 내부통제 조직과 유기적으로 연계해 정보보호 내부통제를 강화하고 있다.

KB캐피탈은 선진화된 관리체계 구축을 중점 목표로 한다. 이는 IT 신기술과 정보보호 규제 변화에 맞춰 사이버 해킹 등 보안 위협을 방지하기 위함이다. 규제 변화에도 적극 대응 중이다. 최근 정형화된 규칙 중심의 규제에서 원칙·목표 중심의 자율 보안 체계로 전환됐다. 이에 따라 안전한 영업환경을 위해 정보보호 관리체계를 고도화하고 있다. 사이버 보안 위협에 효과적으로 대응하며 운영 복원력도 강화한다는 방침이다.

◇구간별 시스템 운영, ASM 활용 취약점 개선 추진

KB캐피탈은 그룹 통합 정보보호 대응 체계를 구축하고 있다. 통합 데이터센터를 통해 보안관제를 수행하며 계열사별 침해 시도를 탐지한다. 공격 IP 등 위협 요소는 그룹 차원에서 차단 조치가 이뤄진다. 계열사 정보보호 우수사례도 벤치마킹해 적용하고 있다. KB캐피탈 관계자는 "외부 유출사례와 취약점 정보를 공유하며 정보보호 관리체계를 지속 개선할 것"이라고 말했다.

자체적으로는 구간별 정보보호시스템으로 보안 위협에 대응하는 중이다. 데이터베이스, 단말, 서버 등 전 구간의 정보 자산을 대상으로 단계적 보안 체계를 운영한다. IT 자산의 취약점 제거와 보안 패치 관리도 병행하고 있다. 공개용 웹서비스에 대해서는 자체 모의해킹으로 점검이 이뤄진다. 특히 공격표면관리(ASM)를 활용해 외부에 노출된 취약점을 도출하고 개선하는 데 집중하고 있다.

KB캐피탈은 마이데이터 서비스에 대한 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 인증도 획득했다. 전 영역의 관리체계를 검증받았으며 매년 사후심사를 통해 인증을 유지하고 있다. 외부 전문업체를 통한 내부감사와 제3자 검증으로 정보보호 관리체계 운영과 개선 활동의 적정성을 점검하고 있다.