| 서울=한스경제 이지영 기자 | 보험업계가 디지털 전환과 맞물려 정보보호 체계 고도화에 속도를 내고 있다. 주요 보험사들이 잇따라 정보보호 및 개인정보보호 관리체계(ISMS-P)와 같은 핵심 인증을 확보하며 보안 역량을 끌어올리는 있다. 하지만 관련 조직의 독립성과 관련된 투자 구조는 여전히 풀어야 할 과제로 남아 있다.
27일 보험업계에 따르면, 업권을 겨냥한 사이버 공격이 잇따르면서 보안 리스크가 현실화되고 있는 양상이다. 지난해 ▲KB라이프생명 ▲서울보증보험 ▲악사손해보험 등에서 해킹 피해가 발생했다. 같은해 7월에는 서울보증보험이 랜섬웨어 공격으로 일부 전산 시스템이 중단되며 고객 민원 대응에 차질을 빚기도 했다.
이 같은 위협은 보험 판매망으로 확산되는 모습이다. 지난해 4월에는 법인보험대리점(GA) 2곳에서 고객과 설계사를 비롯한 약 900명의 개인정보가 유출됐다. 동일 솔루션 업체의 관리자 계정이 악성코드에 감염되며 시스템 전반이 침해된 것이다.
이에 보험사들은 개인정보 유출과 사이버 침해 위험 확대에 대응해 정보보호 인증 확보에 나서는 등 전사적 보안 체계 강화와 관련 투자 확대에 속도를 내고 있다.
금융보안원에 따르면, 정보보호 관리체계(ISMS)·정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득한 보험사는 총 15개로 집계됐다. 이 중 ISMS는 9곳이며 ISMS-P 인증은 6곳으로 총 15개 보험사가 획득했다.
손보업계에서는 삼성화재가 지난 2023년 업계 최초로 ISMS-P 인증을 획득했다. 삼성화재는 2014년부터 ISMS 인증을 유지해왔으며 개인정보보호 영역 심사 기준이 통합된 ISMS-P 인증으로 전환했다. DB손해보험은 지난해 11월 홈페이지(보험서비스)와 보험업무(PA·다이렉트 채널) 범위에 대해 ISMS-P 인증을 획득했다.
현대해상은 2016년 이후 ISMS 인증을 유지해 오다가 최근 ISMS-P 인증 신청을 완료했다. KB손해보험과 한화손해보험 역시 ISMS 인증을 유지하고 있다.
생보업계에는 삼성생명·교보생명·한화생명 등이 '정보보호 및 개인정보보호 관리체계(ISMS-P) 을 취득했다. 삼성생명은 지난해 11월 홈페이지와 다이렉트 보험 서비스(GA 채널 제외)에 대해 ISMS-P 인증을 받았다. 교보생명은 2023년 보험업무(FP·GFP·다이렉트 채널)와 홈페이지 서비스 범위를 포함해 인증을 획득했다.
한화생명은 보험사 최초로 2024년 ISO/IEC 27017(클라우드 정보보호 관리체계)와 ISO/IEC 27018(클라우드 개인정보보호 관리체계) 인증을 획득했다. 한화생명은 이미 확보한 ISMS-P와 ISO27001을 고려하면 국내 보험사 중 유일하게 국제 인증 4종을 모두 보유했다.
동양생명은 지난해 11월 보험서비스(FC 재무설계사)와 홈페이지(웹·앱), 클라우드 기반 AI컨택센터(AICC) 등 주요 디지털 보험 서비스 영역에 대해 인증을 획득했다. 이외에도 주요 보험사들은 국제 기준에 맞춘 정보보호 체계를 구축하고 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 중심으로 고객정보 보호와 사이버 위협 대응 역량을 강화하고 있다.
▲ 업계, 보안 체계 조직 독립성 미흡..."정부 규제 강화 속 인증기준 강화"
보험업계에는 정보보호 예산 비율만 공개되고 실제 투입 금액은 공개되지 않고 있어 깜깜이 보안 투자란 지적이 나오고 있다. 특히 삼성생명·한화생명을 제외하면 대부분의 보험사가 구체적인 정보보호 예산 집행 내역을 밝히지 않고 있어 투자 투명성이 낮은 상태다.
주요 보험사의 지속가능경영보고서에 따르면, 2024년 기준 IT 예산 대비 정보보호 투자 비중은 한화생명이 11.7%로 가장 높았으며 이어 삼성생명은 11%로 나타났다. 이어 ▲메리츠화재 9.7% ▲한화손보 8.9% ▲신한라이프 8% ▲현대해상 7.6%의 순이었다.
세부적으로 보면 삼성생명은 총 예산 3조4908억원 중 IT·정보보호 예산이 2915억원(8.35%)으로 집계됐다. 이 중 정보보호 예산은 289억원으로 IT 예산 대비 11% 수준이다. 한화손해보험은 IT 총예산이 828억7000만원이 며 이 중 74억원(8.9%)을 정보보호에 배정했다.
업계에서는 예산 집행의 불투명성이 보안 취약 요인을 심화시키고 있다고 분석했다. 현행 정보보호산업 진흥법은 일정 규모 이상 기업에 정보보호 투자 및 인력 현황 공시를 의무화하고 있지만, 금융사와 전자금융업자는 감독 대상이라는 이유로 이를 제외하고 있다.
이는 보안 조직의 독립성이 미흡한 구조적 한계를 반영한 결과로 해석된다. 실제 다수의 금융사들이 최고정보보호책임자(CISO)가 CIO나 CFO를 겸직하는 체계가 이어져 조직의 독립성 부족이 문제화 되고 있다. KISIA에 따르면, 금융·보험업의 정보보호 겸직 비율은 73.9%로 전 산업 중 가장 높은 수준을 기록했다.
보험업계는 정보보호 투자 확대와 맞물려 자율보안을 기반으로 한 ISMS-P 인증제도의 중요성이 더욱 부각될 것으로 보고 있다. 이에 과학기술정보통신부는 상장법인 전체를 대상으로 정보보호 공시 의무를 확대하는 정보보호산업법 시행령 개정안을 추진 중이다.
금융보안원에 따르면, 2015년 이후 인증심사 건수는 10년 만에 5배 증가(27건→128건)했으며 개인정보보호를 포함한 ISMS-P 심사는 2019년 도입 이후 11배 확대(4건→45건)된 것으로 조사돼 금융권 전반에 보안 관리 수준 향상이 가시화되고 있다.
업계 관계자는 "ISMS-P 인증 준비 과정에서 정책과 절차 표준화, 취약점 대응 역량이 강화되며 장기적으로 보험사의 디지털 경쟁력과 고객 신뢰 확보에 기여할 것이다"고 말했다. 또 다른 관계자는 "디지털 보험 서비스 확대에 따라 보안 체계 강화는 선택이 아닌 필수 과제가 됐다"며, "선제적 보안 투자와 함께 CISO 권한 강화, 예산 집행의 투명성 확보가 병행돼야 한다"고 강조했다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
