한화손해보험이 개인정보 유출 사고에 대한 대비책 마련으로 업계 최고 수준의 보안 체계를 강화하고 있다. 인공지능(AI) 기반 해킹 방어 기술을 도입하고 정보보호 조직 전반을 '보안 Ver 2.0' 수준으로 고도화하는 등 전사적 보안 내재화에 속도를 내고 있다.
6일 한화손보에 따르면 회사는 정보보호 관리체계 인증(ISMS), 정보보호 경영시스템 인증(ISO27001), 개인정보보호 우수 웹사이트 인증(ePRIVACY PLUS)을 모두 보유 중이다. 세 인증 모두 매년 사후심사에서 적합 판정을 받으며 유지 중이다.
또 정보보안 통합 체계 강화를 위해 정보보호최고책임자(CISO)가 개인정보보호책임자(CPO)를 겸직하고 있다. CISO가 위원장을 맡은 '정보보호위원회'와 분기별 '정보보호회의체'에서 전략기획·준법감시·소비자보호 등 주요 부문 임원들이 참여하는 협의 구조를 운영한다. 연 6회 이상 열리는 위원회에서는 정보보호 계획, 전자금융거래 안전성, 취약점 개선 이행 여부 등을 집중 점검한다.
정보보호 담당 부서는 매년 내부 규범과 법령, 외부 정책 간의 격차 분석을 실시해 보완 영역을 도출하고 이를 토대로 정책과 지침을 최신화한다. 올해 새롭게 개정된 정보보호 정책에는 고객 개인정보와 회사 자산을 침해나 오남용 없이 보호하기 위한 기본 원칙이 담겼다. 보호 기준은 임직원뿐 아니라 위탁사 등 제3자 구성원까지 동일하게 적용된다.
임직원 대상 보안 인식 교육도 강화했다. 업무별 맞춤형 온라인·대면 교육 외에 해킹메일·스미싱 대응 훈련을 정기적으로 시행하고, IT 인력을 대상으로는 오픈소스 취약점·시큐어코딩·프로젝트 보안 교육 등을 제공한다. 정보보호 인력은 금융보안원 전문교육과 외부 세미나·컨퍼런스에도 지속 참여한다.
특히 지난해 12월 손해보험업계 최초로 AI 기반 '동적표적방어' 솔루션을 대고객 웹 서비스에 적용했다. 공격 표적을 실시간으로 바꾸는 방식으로 같은 해 하반기 모의해킹 점검에서 주요 홈페이지 취약점 '제로'를 달성했다.
사이버보험 시장 확대에도 속도를 내고 있다. 한화손보는 지난해 10월 국제 시큐리티 콘퍼런스(ISEC)에서 사이버프로텍션보험을 선보였으며 올해 3월 국회 주최 토론회에서는 '사이버보험을 통한 기업 보안 강화'의 필요성을 강조했다. 지난해 11월에는 업계 최초로 '사이버 위험관리(RM)센터'를 신설하고 법무법인 및 보안 전문기관과 협약을 체결해 법률·기술·보험을 결합한 종합 솔루션을 개발 중이다.
회사는 매년 정보보호 수준 평가를 실시해 과제를 도출하고 이행 결과를 분석해 개선 방향을 제시하는 라이프사이클 체계를 운영한다. 지난해 자체 점검에서는 개인정보 파기 및 내부통제 프로세스를 중심으로 위험 발생 여부를 점검했으며 이상징후 자동 분석 비율을 80%까지 끌어올렸다. 대응 소요시간도 절반으로 단축했다.
한화손보 관계자는 "개인정보보호를 위한 사전예방에 집중하고 있다"며 "보안 조치를 의식하지 않아도 정보자산이 안전하게 보호되는 '보안 Ver 2.0'을 완성해 나가겠다"고 밝혔다.