이 기사는 2025년 11월 10일 13:35 thebell 에 표출된 기사입니다.

삼성카드가 AI를 활용한 외부 위협에 대응하기 위해 중장기 보안 로드맵을 마련하고 있다. 법령 기준보다 강한 자체 기준을 적용하고 암호화 범위를 확대해 방어력을 높였다. 최근 10년간 개인정보 유출 0건을 기록하며 대외 평가에서도 높은 수준을 유지하고 있다.

삼성카드가 추진하는 정보보호의 중점 방향은 잠재 리스크 점검 강화다. 금융당국 규제 변화에 대해 선제적으로 모니터링하고 있다. 향후 주요 의결사항을 이사회에 보고하는 체계를 마련해 내부 거버넌스를 강화해나갈 계획이다. 신기술과 새로운 환경에 대한 보안을 안전하게 지원하는 데에도 역량을 집중한다는 방침이다.

◇내부통제 파트서 보안 자체 감사 실시

삼성카드는 매달 정보보호위원회를 진행하고 있다. 위원회에서는 정보보호와 개인정보·신용정보보호, IT보안 관련 정책 수립 등에 대한 의사 결정이 이뤄진다. 논의 결과는 위험관리집행위원회와 대표이사, 이사회에 보고된다. 집행위는 본부장, 실장급 임원으로 구성하고 있다. 이러한 거버넌스 구조는 정책 결정과 실행 간의 연계를 강화해 실질적인 이행력을 확보한다.


정보보호 전담 조직은 정보보호최고책임자(CISO) 산하에 정보보호팀, IT보안팀, 보안 내부통제 파트 조직으로 나뉘어 운영된다. 각 조직은 전문 분야별로 명확한 역할을 수행한다. 이 가운데 정보보호팀은 보안 컴플라이언스 준수 점검을 담당한다. 정보보호 정책 수립과 각종 위원회 운영 등도 병행한다.

IT보안팀은 IT보안 정책을 수립하고 보안성과 신기술 적용 등을 검토한다. 침해사고 예방과 보안 취약점 점검 등도 IT보안팀의 역할이다. 보안 내부통제 파트에서는 정보보안담당 직속으로 보안 자체 감사를 실시한다. 이를 통해 조직 전반의 보안 수준을 지속적으로 점검하고 강화하는 데 기여하고 있다.

현재 CISO는 손영설 상무가 맡고 있다. 손 상무는 CISO를 비롯해 개인정보보호책임자(CPO)와 신용정보관리보호인(CIAP)도 겸임 중이다. 정보보호 관련 학위와 석사를 취득한 바 있으며 15년 이상의 경력을 갖추고 있다. 삼성카드에서는 2020년까지 약 4년간 신사업팀장 수석을 지낸 후 정보보안을 총괄하고 있다.

◇변화 대응 중심 보안 전략 수립

삼성카드의 정보보호 전략은 변화와 혁신을 기반으로 안전하고 신뢰성 있는 금융 서비스를 제공하는 데 중점을 둔다. 추진 방향으로는 잠재된 보안 리스크를 철저히 점검하고 관리하는 것을 핵심 과제로 삼고 있다. 신규 사업에 대한 선제적인 보안 검토도 실시한다. 또한 급변하는 규제와 기술 변화에 적기에 대응할 수 있는 체계를 갖춘다는 방침이다.

이러한 전략적 노력은 성과로 이어지고 있다. 삼성카드는 카드사 최초로 정보보호 및 개인정보보호 관리체계인 ISMS-P를 취득했다. 글로벌 결제 데이터 보안 표준인 PCI-DSS도 꾸준히 유지 중이다. 특히 법령보다 강력한 자체 기준을 수립해 추가적으로 암호화를 적용하고 있다. 최근 10년간 개인정보 유출 0건이라는 기록은 예방 중심의 통제 전략이 효과를 거두었음을 보여준다.

내부통제 측면에서도 전략이 반영된다. 보안 관련 KPI를 임원 평가에 직접 반영해 책임감을 높이고 있다. 주요 평가 항목으로는 보안점검과 적기 조치 이행, 보안 교육 수료율, 악성 메일 훈련 참여율 등이 활용된다. 삼성카드는 직급과 직무별 맞춤형 교육과 자율 보안 문화 정착 노력도 병행하고 있다.

주요 과제로는 규제 강화, AI 기반 위협, 신기술 도입 시 사전 검증 등이 주요하게 꼽힌다. 삼성카드는 보안 수준을 정기적으로 진단하고 규제 변화에 대한 모니터링을 강화하고 있다. 나아가 글로벌 선진 수준 유지를 위한 중장기 보안 로드맵도 마련해나갈 계획이다.