이 기사는 2025년 11월 07일 07:14 thebell 에 표출된 기사입니다.

현대해상은 금융업의 기본 가치인 사회 안전망 제공을 고객 정보보호에도 적용하는 신뢰 경영을 추구하고 있다. 서홍원 상무 CISO(정보보호최고책임자)의 주도 아래 정보보호파트에서 관련 실무를 담당하고 있다. 서 상무는 외부에서 영입한 IT 전문가로 최근 정부 차원에서 정보보호 기조가 강화됨에 따라 빠르게 대응 전략 수립에 나서고 있다.

현대해상은 범정부 종합대책에 부응하기 위해 전반적인 보안 시스템 강화를 진행할 계획이다. 첫번째 과제로 제시된 핵심 IT 시스템에 대한 대대적 점검과 상시 취약점 탐지 체계 구축을 위한 계획 수립을 완료했다. 뿐만 아니라 정보보호 인증도 국내 최고 수준으로 업그레이드하는 등 종합적인 시스템 역량 강화에 나선다.

◇CISO에 외부 IT 전문가 영입…26명 인력 운영

현대해상은 정보보호에 있어 신뢰 경영을 강조하고 있다. 금융업의 본질인 사회 안전망 제공이라는 가치를 고객 정보 보호에도 적용해야 한다는 의미다. 경영진은 정보보호 조직에 단순 대응이 아닌 예방적 설계를 실천하고 보안 이슈에는 즉시 대응하는 능력을 기를 것을 주문했다.


현대해상의 정보보호 최고 책임자는 서홍원 상무다. 서 상무는 1971년 2월생으로 한국과학기술원 기계공학 학사 및 석사를 졸업했다. 카카오엔터프라이즈 실장, 현대해상 지속가능실 수석전문위원 등을 지냈고 지난해 12월 CISO에 선임됐다. 서 상무는 CISO 이외에도 개인정보보호책임자(CPO), 위치정보책임자, 가명정보책임자, 신용정보법에 따른 신용정보관리보호인 등을 겸임하고 있다.서 상무 산하에는 정보보호파트를 두고 있다. 정보보호파트장을 포함해 16명이 근무 중이다. 보안기획 및 컴플라이언스(개인정보), 보안 아키텍트 조직으로 나뉘어 있는데 보안 기획팀은 정보보호 정책 수림 및 사업계획 수립, 교육 및 인식제고 등을 담당한다. 컴플라이언스팀은 개인신용정보 보호 정책 수립 및 라이프사이클 관리, 위수탁 관리 등을 도맡는다. 보안아키텍처팀은 보안 아키테처 수립 및 유지, 보안 프로젝트 추진 등을 맡고 있다.

그 외에도 현대해상의 IT자회사인 현대HDS를 통한 아웃소싱으로 9명의 보안운영팀을 운영하고 있다. 이들은 보안시스템 관리, 외부 침입 대응 실시간 보안관제 모니터링 등을 담당하고 있다.

또한 서 상무는 정보보호 관련 조직장으로 구성된 정보보호위원회 위원장을 맡고 있다.다. 정보보호파트장, 준법감시파트장, IT기획파트장, 인프라지원파트장, 시스템관리파트장 등으로 구성되어 있다. 해당 위원회는 전자금융거래의 안전성 확보와 이용자 보호를 위한 사안을 심의 및 의결한다. 정보보호위원회 의결 사항은 매분기 대표이사에게 보고하고 내년부터는 이 중 중대한 사안을 선정해 이사회에 보고할 계획이다.

◇시스템 대대적 점검, 모의 훈련 계획 선제적 수립…ISMS-P 인증 업그레이드 진행

현대해상은 정부의 범부처 정보보호 종합대책 발표에 따라 적극 대응을 예고하고 있다. 특히 1번 과제로 제시된 "핵심 IT 시스템에 대한 대대적 점검과 상시 취약점 탐지 체계 구축"과 관련해 내년 두 가지 사업 계획 수립을 완료했고 이에 발맞춰 대응할 계획이다.

첫번째로 대고객 시스템 등 외부에 공개된 시스템에 대한 모의 침투 점검 체계를 도입한다. 업계 최상위 정보보호 전문 해킹 업체와의 취약점 점검 업무 위탁 계약을 맺고 현대해상 중요 시스템에 대한 상시 취약점 점검 및 조치를 취할 예정이다. 또한 지능형 기반의 통합 보안 모니터링 체계를 구축해 AI를 활용한 자동화 분석으로 침해사고 발생 소지 등 이상 징후를 신속하게 파악 및 조치하는 체계를 마련하고 보안 역량을 강화할 예정이다.

또한 정보보호관리 체계 인증을 한 단계 업그레이드한다. 현대해상은 2016년 이후 ISMS 인증을 유지해왔는데 내년부터는 개인정보 보호 분야를 포함하는 ISMS-P 인증으로 체계를 상향할 계획이다. ISMS-P인증은 금융보안원에서 수행하는 개인정보의 관리적·기술적 보안 영역 전반에 대한 보안 실사로 국내 최고 수준의 보안 인증 심사로 평가된다. 현재 삼성화재, 교보생명 등이 해당 인증 자격을 유지하고 있다. 현대해상은 컨설팅 업체를 통해 기존 인증 체계 재분석에 나설 예정이다.

정부가 강조한 소비자 중심의 사고 대응체계 구축과 관련해서는 기존에도 시스템을 마련하고 있다는 설명이다. 현대해상은 매해 개인정보배상책임보험을 가입해 개인정보 노출에 대한 고객 피해를 최소화하고 있다. 추가적으로 올해에는 사이버패키지보험을 가입해 해킹, 랜섬웨어 등 사이버 위협으로부터의 대응력을 높였다.