대신증권이 최근 3년 간 개인정보 침해사고 및 유출 사고가 한 건도 발생하지 않은 것으로 나타났다. 매해 정보보호 예산을 늘리고 효율적인 대응 체계를 갖춘 결과로 풀이된다. 특히 정보보안 공시 의무가 없음에도 자율적으로 정보보호 투자 규모와 인력 등을 투명하게 공개하고 있다.

이를 아우르고 있는 인물은 정회민 CISO(정보보호부문장)다. CISO와 함께 개인정보보호책임자(CPO)와 신용정보관리보호인(CIAP)를 겸한다. 대신증권은 정보보호·개인정보 실무협의회를 구축하고 보안 예산을 매해 늘려나갈 방침이다.

◇42억→51억→57억 정보보호 예산 매년 증가

한국인터넷진흥원(KISA) 정보보호 공시 종합 포털에 따르면 대신증권은 2023년부터 올해까지 3년째 공시 의무가 없음에도 자율적으로 공시하고 있다. 자율 공시 중인 증권사는 전체 60개사 중 10분의 1에 불과하다. 올해 자율 공시한 증권사 6곳 중 대신증권이 포함됐다.

정보보호 관련 투자 규모, 전담 인력, 평가 이행 현황 등이 담겼다. 투명한 정보공개를 통해 신뢰받는 정보보호 체계를 구축하겠다는 방침이다. 이를 뒷받침하는 정보보호 예산도 매해 증가하는 추세다. 2022년 41억원에 그쳤던 편성액은 2023년 51억원, 2024년엔 57억원까지 증가했다. 올해의 경우 56억원으로 소폭 꺾였지만 매해 50억원대 정보보호 예산을 투입했다.


전체 IT 예산 중 정보보호 예산이 차지하는 비중도 점차 증가하고 있다. 특히 IT 예산이 감소한 해에도 정보보호 예산은 늘었다. 실제 2022년 780억원이었던 IT 예산은 2023년 727억원으로 소폭 감소했다. 반면 같은 기간 정보보호 예산은 42억원에서 51억원으로 늘었다.

2024년에는 전체 IT 예산 860억원, 정보보호 예산 57억원을 기록했다. 전체 IT 예산에서 정보보호 예산이 차지하는 비중도 5%에서 7%로 상승했다. 주로 웹 방화벽 고도화, 권한 관리시스템 구축에 비용을 투입하고 있다는 것이 회사 측의 설명이다.

◇3년 간 무사고…CISO·CPO·CIAP 겸직 체제

이를 통해 대신증권은 고객정보 유출 방지에 심혈을 기울이고 있다. 침해사고 대응 매뉴얼, 개인정보 유출 대응 매뉴얼을 마련해 준수하고 있다. 실제 대응 체계를 갖춘 대신증권은 최근 3년(2022년~2024년) 금융감독원 및 인터넷진흥원 보고 기준 개인정보 침해사고 및 개인정보 유출 건수가 단 한 건도 발생하지 않았다.

정보보안 업계의 화두인 AI(인공지능) 리스크 대응에도 집중하고 있다. 생성형 AI 기술 활용이 늘어나 정보보안 리스크가 증가함에 따라 인식을 강화하고 있다. 2024년에는 CISO와 임원을 비롯해 임직원을 대상으로 AI 관련 정보보안 교육을 실시했다.

정보보호 책임자의 주도 하에 매년 교육 계획을 수립하고 지속적으로 교육 활동을 이어갈 계획이다. 실제 대신증권에 따르면 정보보호부문장(CISO)의 필수 교육 시간은 6시간인데 반해 총 9시간의 교육을 이수해 교육 달성률 150%를 기록했다.


대신증권의 정보보호 및 개인정보보호 전담 조직을 이끄는 인물은 정회민 정보보호부문장(이사대우부문장)이다. 1971년생인 그는 원광대 통계학과를 졸업해 대신증권 정보보호부장을 맡고 있다. 대신증권은 정 CISO가 개인정보보호책임자(CPO)·신용정보관리보호인(CIAP)를 모두 겸임하는 형태다.

그의 총괄 아래 정보보호위원회와 개인정보위원회를 열어 정보보호 거버넌스에 반영하고 있다. 정보보호 시스템 구축과 개인정보 보호를 위한 상시평가와 실태 점검이 이뤄지는 형태다. 대신증권은 정보보호 중요성을 인식하고 매년 관련 예산 규모를 확대할 계획이다.

대신증권 관계자는 "3년 간 전자금융 및 개인정보 유출 사고가 단 한 건도 발생하지 않았다"며 "관리에 만전을 기해 무사고 기록을 유지하겠다"고 설명했다.