삼성카드 보안예산 11.7%로 확대…DR센터 운영과 ISO 22301 인증 동향

핵심 요약

- 삼성카드, 2025년 정보보호 예산을 전체 IT 예산의 11.7%로 편성(전년 대비 3.1%p 증가) - 수원전산센터(메인)·춘천전산센터(DR) 이중화 체계 구축, 연 1회 이상 DR 전환 훈련 실시 - 금융권 개인정보 유출 리스크 대응을 위한 선제적 보안·재해복구 투자 강화

주요 내용

삼성카드는 2025년 정보보호 예산을 전체 IT 예산의 11.7%로 편성하며 전년(8.6%) 대비 3.1%포인트 증액했다. 이는 금융권에서 잇따르는 개인정보 유출 사고에 대한 선제적 대응 차원으로, 보안 인프라 강화와 재해복구 체계 고도화에 집중 투자하고 있음을 의미한다.

특히 수원전산센터를 주센터로, 춘천전산센터를 재해복구(DR, Disaster Recovery)센터로 이원화 운영하며 물리적 거리 확보를 통한 동시 재난 리스크를 최소화했다. 두 센터 간 실시간 데이터 동기화 체계를 구축하고, 연 1회 이상 정기적인 DR 전환 훈련을 실시해 실제 재해 발생 시 신속한 업무 복구 역량을 검증하고 있다.

금융권은 「전자금융감독규정」에 따라 중요 정보시스템에 대한 재해복구 체계 구축이 의무화되어 있으며, 금융감독원은 매년 DR 훈련 실시 여부와 복구목표시간(RTO) 준수 여부를 점검한다. 삼성카드의 이번 투자 확대는 규제 대응을 넘어 실질적인 업무연속성관리(BCM) 수준 향상을 목표로 한다는 점에서 주목된다.

2026년 현재 금융권은 클라우드 전환, 디지털 금융 확대에 따른 사이버 위협 증가로 정보보호와 재해복구를 통합 관리하는 추세다. 삼성카드의 사례는 예산 확대와 실전 훈련을 병행하는 모범 사례로 평가받고 있다.

전문가 시각

재해복구센터 운영에서 가장 중요한 것은 '구축'이 아닌 '실효성'이다. 필자가 LH공사 재해경감우수기업 인증심사를 수행하며 확인한 바에 따르면, DR센터를 갖추고도 정기 훈련 미실시, 복구 절차서 미비, 담당자 역량 부족으로 실제 재해 시 무용지물이 되는 사례가 적지 않다. 삼성카드의 연 1회 이상 DR 전환 훈련은 ISO 22301(업무연속성관리시스템) 요구사항인 'BCM 역량의 정기적 검증'과 부합하며, 단순 백업을 넘어 실전 복구 능력을 확보하는 핵심 활동이다.

기업은 DR센터 구축 시 ①RTO(복구목표시간)·RPO(복구목표시점) 명확화 ②주센터-DR센터 간 물리적 이격 거리 확보(50km 이상 권장) ③자동 전환 시나리오와 수동 전환 절차 병행 ④훈련 결과 기반 개선 체계 수립이 필수다. 특히 개인정보보호법 개정(2024년)으로 재해복구 미비 시 과징금 부과 근거가 강화된 만큼, 금융권뿐 아니라 개인정보 다량 보유 기업은 삼성카드 사례를 벤치마킹해 DR 투자와 훈련 체계를 재점검해야 한다.

CPPG·ISMS-P 연계 포인트

1. 재해복구(DR) 및 업무연속성계획(BCP) ISMS-P 인증기준 2.9.3(재해복구)은 주요 정보시스템의 재해 대비 복구 절차 수립과 정기적 시험을 요구한다. RTO(Recovery Time Objective, 복구목표시간)와 RPO(Recovery Point Objective, 복구목표시점)를 업무영향분석(BIA) 결과에 따라 설정하고, 연 1회 이상 실제 전환 훈련으로 검증해야 한다.

2. 정보보호 예산 및 자원 배분(ISO 22301 연계) ISO 22301:2019는 최고경영진의 자원 제공 의무(5.1 리더십)와 연속성 전략 이행을 위한 적정 예산 배정을 명시한다. 정보보호 예산 비율 공시는 이해관계자 신뢰 확보와 BCM 성숙도 지표로 활용되며, ISMS-P 심사 시 경영진의 보안 의지를 판단하는 주요 증적이다.