[딜사이트 최지혜 기자] 롯데카드 해킹 사건이 카드사 보안체계의 허점을 드러낸 가운데, 신한카드는 정보보호 전담 최고정보보호책임자(CISO)를 두고 전사적 보안체계를 강화해 왔다. 과거 모바일 앱 부정결제와 카드번호 발급 취약점 등 사고를 계기로 조직과 시스템을 고도화하며, 개인정보 유출 '제로(Zero)'화를 목표로 다양한 정보보호 정책을 추진하고 있다.

30일 금융권에 따르면 신한카드는 2021년 모바일 앱 부정결제로 2억원 규모의 피해를 본 후, 보안 취약점을 강화했다. 당시 금융감독원은 신한카드에 기관주의와 과태료 5000만 원을 부과했고, CISO 역시 징계를 받았다.

이어 2022년 일부 카드상품의 카드번호와 유효기간 발급 체계가 유사하게 운영돼 무작위 번호 조합을 통한 부정결제가 발생했다. 카드사와 카드상품을 식별하는 번호를 제외한 나머지 번호가 규칙적으로 배열된 점이 사고로 이어졌다. CVC번호를 요구하지 않는 해외결제에 일부 사용자가 피해를 입어 신한카드가 보상했다.

이같은 부정결제 사고들은 스미싱 사고와 '빈 어택'(무작위로 카드번호를 생성하는 해킹)에 해당해 신한카드 내부의 개인정보가 유출된 사고는 아니지만 보안체계의 허점이 드러난 사례로 평가된다. 

이러한 경험을 바탕으로 신한카드는 '개인정보유출 가능성 발생 제로(Zero)화'를 목표로 다양한 정보보호 정책을 수립하고 있다. 우선 카드번호 발급 체계를 한층 고도화하고, 모바일 앱 설치 시 추가 인증 절차를 도입했다. 

IT 예산 대비 정보보호 투자 비중도 확대하고 있다. 2020년 8.8%이던 정보보호 투자 비중은 2021년 8.3%, 2022년 10.8%까지 늘렸다. 이후 2023년 9.3%, 지난해 8.2% 수준의 비중을 유지 중이다.

조직도 재정비해 기존 정보보호팀을 경영지원그룹 내 정보보호본부로 격상했다. 현재 남훈 상무가 CISO를 맡고 박일호 부장이 정보보호부장으로 임명됐다.

정보보호본부는 보안정책 수립, 실태점검, 이상징후 탐지·모니터링을 수시로 수행하며, 자체 정보보호 시스템과 보안관제 체계를 기반으로 비상대응 훈련도 정기적으로 실시한다. 신한금융지주가 추진하는 정보보호 컴플라이언스 점검을 통해 매년 ICT와 정보보호 수준을 개선하고 있다.

국내 카드사 가운데 전담 CISO를 둔 곳은 신한카드가 유일하다. 나머지 카드사들은 CISO가 다른 직무를 겸임 중이다. 특히 CISO를 ICT, IT, 정보보호팀 등을 이끈 인물이 맡고 있다는 점도 눈길을 끈다. 실제 남 상무는 ICT본부, 신기술지원팀, 정보보호팀 등을 거쳤다. 앞서 CISO를 맡았던 박기석 전 상무는 CIT기획챕터부, IT기획팀, IT개발1팀 등에서 실무를 쌓았다. 

최근 롯데카드 해킹 사건 이후 신한카드는 내부 서버 보안 강화에 추가로 나섰다. 단말과 서버의 보안 솔루션을 최신화하고, 관련 악성코드 점검과 침입 차단 시스템 모니터링을 병행하고 있다.

신한카드 관계자는 "정보보호 시스템을 포함한 전체 시스템에 대해 매년 분석 평가와 모의 훈련을 통한 보안 점검을 진행하고 있다"며 "유사 시 단계별 대응 사항을 메뉴얼로 만들어 부서별 역할과 책임에 맞춰 운영하는 등 신속 대응 체계를 구축했다"고 말했다.