[딜사이트 최지혜 기자] 롯데카드 해킹 사태로 금융권 전반의 보안 강화 필요성이 커진 가운데, KB국민카드가 국내 전업 카드사 중 최대 규모의 정보보호 예산을 편성했다. AI·클라우드 기반의 차세대 보안체계 구축에 속도를 내는 한편, 제로 트러스트(Zero Trust) 모델 완성을 통해 내부·외부 위협을 동시에 차단한다는 구상이다.

13일 금융권에 따르면 KB국민카드는 올해 정보보호 예산을 전년대비 62% 늘린 331억원으로 확대했다. 이는 국내 카드사 가운데 최대 규모로, 삼성카드(206억 원), 신한카드(181억 원)보다 높은 수준이다.

KB국민카드의 정보보호 관련 투자액(인건비 포함)은 그동안 감소 추세를 보였다. 2022년 200억원 수준이던 투자액은 2023년 167억원, 2024년 156억원으로 줄었다. IT예산 대비 비중도 10.9%→9.2%→8.5%로 하락했다. 그러나 올해는 보안체계 강화와 시스템 구축을 위한 투자가 늘어나면서 예산을 대폭 확대했다.

이번 투자 확대는 제로 트러스트 보안 모델 구축 가속화를 위한 조치다. KB국민카드는 지난해부터 2026년까지 3개년 계획으로 제로 트러스트 기반의 탐지·분석·대응 체계를 단계적으로 구축하고 있다.

제로 트러스트는 모든 사용자와 기기를 신뢰하지 않고 지속적으로 검증해 보안사고를 방지하는 프레임워크다. 기존 보안 모델과 달리 내부망 접속 시에도 모든 접근 요청을 철저히 검증함으로써 계정 탈취, 내부자 위협 등을 예방할 수 있다. 최근 롯데카드 해킹 사고를 계기로 금융권 전반에서 관련 시스템 구축에 대한 관심이 높아진 가운데, KB국민카드는 한발 앞서 고도화에 나선 셈이다.

KB국민카드는 지난해 제로 트러스트 구축 1단계로 '가시성 확보'를 목표로 삼았다. 사용자 단말기와 클라우드 환경에서 발생하는 위협 요소를 빠르게 식별하고 대응할 수 있는 체계 마련에 집중했다.

올해는 '자동화 및 검증 단계'를 목표로 뒀다. 내부·외부 사용자의 접근 요청을 실시간 검증하고, 사용자 신원을 자동으로 확인하며, 보안정책을 지속적으로 관리·점검하는 시스템을 구축 중이다. 추가 보안 솔루션 개발이 필요한 만큼, 이 과정에서 정보보호 예산이 대폭 확대됐다.

내년은 '완성 및 고도화 단계'로, 올해 구축한 시스템을 기반으로 통합 보안 플랫폼을 완성할 예정이다. 외부 침입 방지는 물론 내부자 위협까지 예방하는 이중 방어체계를 구현해 차세대 보안 모델을 완성한다는 계획이다.

KB국민카드는 제로트러스트 구축을 통해 외부 해커로부터의 사용자 계정 보호와 내부자 위협 차단을 함께 달성할 수 있을 것으로 기대하고 있다. 이를 통해 보안을 선제화·효율화한다는 구상이다. 

이번 제로 트러스트 로드맵은 박규하 정보보호최고책임자(CISO)가 총괄하고 있다. 2023년 CISO에 오른 박 상무는 금융권 최초로 클라우드 컴퓨팅 보안체계를 수립·운영한 공로를 인정받아 지난해 7월 금융위원장 표창을 받았다.

박 상무는 CISO을 비롯해 개인정보보호책임자(CPO),고객정보관리인, 신용정보관리·보호인(CIAP)를 겸직하며 KB국민카드 정보보호부를 이끌고 있다. 정보보호부는 ▲개인정보보호팀 ▲사이버위협대응팀 ▲테크보안팀 ▲보안인프라팀 ▲정보보안점검팀 등 5팀 체제로 운영 중이다.

또한 KB국민카드는 정보보호 관련 주요 안건을 심의·의결하는 정보보호위원회를 운영 중이다. 박 상무가 위원장을, 테크보안팀장이 운영팀장을 맡고 있으며, 통합 관리 시스템을 통해 보안 취약점 조사와 대응, 개인정보 오·남용 방지, 조회 이력 관리, 파기 절차 점검 등 정보보호 업무 전반을 상시 모니터링하고 있다.

KB국민카드 관계자는 "인프라 개선과 보안시스템 고도화 투자로 인한 초기 구축비용이 발생했고 이후 클라우드 기반 보안, AI기반 침해탐지 등 효율성이 높은 보안쳬계 운영으로 운영비 최적화가 이뤄지며 그동안 관련 예산이 줄었다"며 "다만 올해는 정보보호 중요도 인식 제고와 보안사고 예방을 위해 예산 규모를 확대했다"고 설명했다.