[딜사이트 최지혜 기자] 삼성카드는 과거 내부 직원에 의한 고객 개인정보 유출 사고 이후 내부통제 강화와 협력사를 포함한 전사적 정보보호 체계 구축에 집중하고 있다. 하지만 IT(정보기술) 예산에서 정보보호에 투자하는 비중은 최근 5년간 지속적으로 감소하고 있다. 지난해 전담 조직을 신설하며 내부 감사를 활발히 진행하고 있지만, 재무적 투자보다 내부 통제와 인력 역량 강화에 무게를 두는 모습이다.

10일 금융권에 따르면 삼성카드의 IT예산 대비 정보보호 투자 비중은 점차 하락하는 추세다. 2019년 14.4%에 달했지만 ▲2020년 12.7% ▲2021년 9.0% ▲2022년 9.1% 수준으로 내렸다. 이어 2023년 8.7%로 떨어져 9%를 하회했고, 지난해 8.6%를 기록했다.

이는 빅데이터 등 신사업 추진으로 전체 IT 예산은 늘었지만, 정보보호 예산 증가폭이 상대적으로 작았기 때문으로 분석된다. 금융권 관계자는 "정보보호 업무는 앱 개발 등 다른 IT 부문에 비해 성과가 눈에 잘 띄지 않아 예산 증가가 제한적이었다"고 설명했다. 

과거 '전자금융감독규정'이 삭제되면서 금융사들의 정보보호 투자 자율화가 진행된 것도 투자 비중 감소에 영향을 미쳤다. 기존에는 금융사들이 전체 IT 예산의 7% 이상을, 전체 IT 인력의 5% 이상을 정보보호에 할당할 것을 의무화했었다.

삼성카드는 재무적 투자보다는 내부 통제와 인력 역량 강화에 초점을 맞추고 있다. 과거 2012년 삼성카드 고객관리부 영업직원이 자사 서버를 해킹해 고객 정보를 유출했기 때문이다. 이에 외부 해커의 서버침입과 내부통제를 병행하며 사고 예방에 집중하는 모습이다.

삼성카드의 정보보호 업무는 정보보호팀과 IT보안팀으로 구성된 정보보호담당이 전담한다. 정보보호팀은 정책 수립·시행, 위원회 운영, 보안 의식 제고를 맡고, IT보안팀은 취약점 점검, 보안 시스템 운영, 침해 사고 예방 등 기술적 보안을 담당한다.

특히 지난해에는 내부감사 전담 부서를 새롭게 마련하고, 16개 정보보호 업무 영역에 대해 정기·수시·상시 감사를 실시하며 감사 횟수를 크게 늘렸다. 정보보안담당 직속 보안내부통제파트를 마련해 자체 내부감사의 독립성을 강화한 것이다. 이에 따라 2023년 정기 2회, 비정기 2회였던 감사가 지난해 정기 2회, 수시 7회, 상시 12회로 확대됐다.

이와 함께 삼성카드는 전사보안위원회와 정보보호위원회를 운영하며 주요 정책과 보안 사고 대응, 취약점 조사 등을 심의·의결한다. 논의 결과는 분기별로 리스크관리 집행위원회에, 매달 대표이사에게 보고된다.

다만 정보보안 담당 임원이 장기간 겸직 체제로 운영되는 점은 우려 요소로 지적된다. 현재 손영설 정보보안담당 상무가 삼성카드의 CISO를 비롯해 개인정보보호책임자(CPO)와 신용정보관리·보호인(CIAP)을 겸직 중이다. 특히 2020년 12월 취임 이후 5년째 보안 관련 3개 C레벨 업무를 수행하고 있다.

금융권 관계자는 "국내 카드사들은 CISO가 CPO 등을 겸직하는 체제가 지배적"이라며 "국내에 정보보호 관련 전문 교육이 등장한 지 오래지 않아 전문 인력 자체가 부족한 현실"이라고 말했다.