대외비 · CONFIDENTIAL
임원 의사결정 보고 · 정보보호 3개년 전략

지금 IGA를 시작해야 하는 이유
— 카드사 정보보호 3개년 로드맵

권한관리(IGA)를 첫 단추로, 3년에 걸쳐 사후 수습형에서 사전 예방형 정보보호 체계로

수신 대표이사(CEO) · 정보보호최고책임자(CISO) · 개인정보 보호책임자(CPO) 작성 정보보호팀 일자 2026-07-15 분류 대외비
1

지금 우리가 안고 있는 리스크

서론

우리 회사는 임직원 2,000명과 외주 인력 3,000명이 30여 개 시스템의 개인신용정보에 접근합니다. 그런데 “누가·왜·무엇에 접근할 수 있는가”에 대한 전사적 가시성이 수기·분산 관리로 제한됩니다. 이는 단순 불편이 아니라, 곧 시행되는 법 아래에서 중대한 재무·영업 리스크와 대표이사 관리·감독 책임이 걸린 문제입니다.

최우선 위험

외주 인력 권한 통제 한계

3,000명 외주의 접근권한·계약종료 회수가 수기·분산 관리로, 계약 종료 후 권한 회수에 시차가 발생할 리스크가 잔존합니다. — 2014년 카드3사 유출과 같은 유형.

상시 노출

퇴사·이동자 권한 회수 시차

인사변동(퇴사·이동) 시 권한 회수에 시차가 발생할 수 있어, ‘즉시 차단’ 보장이 어렵습니다.

사각지대

특권·공용 계정 현행화 미흡

관리자·서비스 계정의 소유자·사용근거 현행화가 미흡합니다. 특권계정관리(Privileged Access Management, PAM) 부재로 재인증 체계도 없습니다.

이해상충

직무분리(SoD) 시스템 통제 미흡

수기 승인에 의존해 한 사람이 신청·승인·실행을 겸할 수 있어, 시스템적 통제 우회 가능성이 있습니다.

2026년 9월 11일, 규칙이 바뀝니다 — 개인정보보호법 개정 시행

  • 과징금 상한 매출 3% → 전체 매출액의 10% (반복·중대 위반 시 — 최근 3년 반복 · 1천만 명 이상 피해 · 시정명령 불이행)
  • 대표이사(CEO) 최종책임 명문화 — 관리·감독 의무, CPO 지정·변경 이사회 의결
  • 유출 ‘가능성’만으로도 통지 의무 / 위·변조·훼손 사고도 통지 대상
  • 금융권 접근통제는 신용정보업감독규정 [별표3]·전자금융감독규정이 이미 직접 의무화 → 금융감독원 검사·제재의 근거

선례이미 겪은 업계 — 2014년 카드3사 개인정보 유출

국민·롯데·NH카드에서 약 1억 건의 개인신용정보가 유출됐고, 원인은 외주(파견) 개발자가 시스템 개발 중 고객정보를 USB로 반출한 것 — 정확히 외주 인력 접근권한·데이터 통제의 실패였습니다. 결과: 신규모집 3개월 영업정지 · 카드사 사장단 총사퇴 · 대규모 집단소송.

최근 금융당국의 무관용 제재 기조 아래, 유사 사고가 재발할 경우 신법의 ‘중대 위반’ 가중 요건(대규모 피해 등)에 해당해 과징금이 매출의 10%까지 가중될 수 있습니다.

매출 10%
반복·중대 위반 시
법정 과징금 상한(개정법)
3개월
영업정지(신규모집) 선례
= 직접 매출 손실
CEO 책임
대표이사 관리·감독 책임
+ 집단소송·브랜드 훼손

※ ‘매출 10%’는 개정 개인정보보호법상 법정 과징금 상한(반복·중대 위반 시)이며, 실제 부과액은 위반 규모·관련 매출·가중 사유에 따라 정해지는 가정 시나리오입니다.

대외비 · CONFIDENTIAL
2

3년에 걸쳐 무엇을 세우는가

본론

통제 기반과 시스템 연계를 고려해 단계적으로 구축합니다. ‘정답 데이터’를 먼저 만들고(IGA), 그 위에 AI 방어를 얹는 순서가 핵심입니다. 아래는 3년 로드맵입니다.

1년차 · 기반
정답을 만든다
IGA — 신원·권한 관리(Identity Governance & Administration)
신원·권한·정책·증적을 한 곳에서 통제. “누가 무엇에 접근해도 되는가”의 기준 데이터(정답)를 확립. 입·이동·퇴사 자동 반영, 외주 계약종료 자동 회수, 직무분리 집행, 특권계정 목록·정기 재인증. 수작업 권한부여·회수 공수도 절감.
외주·퇴사자 권한 잔존, 특권·고아계정, 직무분리 공백을 구조로 제거
2년차 · 탐지+차단
일탈을 잡고 반출을 막는다
AI 이상징후 탐지 + 개인정보 반출 차단
평소 패턴을 학습한 AI가 비정상 접근을 실시간 적발(이상행위 분석, UEBA·ITDR)하고, 데이터 내용·업무 맥락을 파악해 불법 반출을 자동 차단(지능형 정보유출 방지, AI-DLP).
외주가 심야에 대량 조회·USB 반출을 시도하는 순간 탐지+즉시 차단 — 2014년 사고 유형에 직접 대응
3년차 · 자동화
AI 시대까지 통제
비인간·AI 신원 통제 + 자동 회수
사람이 아닌 API·봇·AI 에이전트 등 비인간(기계) 계정(NHI)에 소유자·목적·만료를 부여해 통제. 위협 시 세션 종료·토큰 폐기 등 확실한 조치는 자동 회수(보안 자동화, SOAR)하고, 고영향 조치는 승인 기반으로 대응.
소유자·만료 없는 API·서비스 계정 정비 + 자동 회수로 관리·감독 이행 입증 지원
정답(IGA)실시간 탐지·차단(AI)자동 통제(NHI·SOAR)

구축했을 때 vs 하지 않았을 때

비교 항목3개년 로드맵을 구축하면지금처럼 두면(미구축)
리스크 노출✔ 구조적 축소 권한이 자동 회수·통제되어 유출 경로를 구조적으로 축소✘ 상시 노출 외주·퇴사자 권한 잔존, 2014년식 반출 재현 가능
규제·감사 대응✔ 상시 증적 신용정보업감독규정·ISMS-P 요구 접근통제 자동 입증✘ 수기·구멍 검사 때마다 증적 수집, 통제 미비 지적 반복
사고 시 차단 속도✔ 실시간 이상 접근·반출을 탐지 즉시 자동 차단·회수✘ 사후 인지 유출 후에야 파악 → ‘가능성 통지’ 의무 위반 위험
CEO 책임 방어✔ 사전예방 입증 관리·감독 이행 입증 지원 → 제재 판단 시 참작 가능✘ 책임 노출 접근통제 증명 불가 → 대표이사 관리·감독 책임에 직접 노출
재무 영향(재발 시)✔ 억대 투자 3개년 예방 투자로 리스크 예측·관리 가능성 제고✘ 매출 최대 10% 법정 과징금 상한+영업정지+집단배상+브랜드 훼손

※ 성과 지표(KPI)는 ‘AI 탐지 건수’가 아니라 고아계정 제거율·외주권한 만료 준수율·고위험 반출 차단률·탐지→통지판단 시간·통제 증적 완결률로 관리합니다(경영진 방어에 직접 유효).

3

그래서, IGA가 첫 단추입니다

결론
1

2년차 AI 이상징후 탐지도, 개인정보 반출 차단도, 3년차 비인간 신원 통제도 — 전부 “무엇이 정상 권한인가”라는 IGA의 정답 데이터가 있어야 작동합니다. 정답 없이 AI만 얹으면 무엇이 ‘이상’인지 판단하지 못해 오탐률이 급증하고 실시간 차단의 정확도·효과가 제한됩니다. 그래서 IGA가 논리적으로 반드시 먼저입니다.

시간이 없습니다. 매출 10% 과징금과 CEO 책임을 담은 개정법은 2026년 9월 11일 시행, ISMS-P 인증 의무화는 2027년 7월입니다. IGA는 다년 과제라 9월에 완성되진 않지만, 지금 대규모 선제 투자를 ‘착수·진행 중’이라는 사실 자체가 감독당국에 대한 관리·감독(선관주의) 이행의 증거가 됩니다.

즉시법 시행(9/11) 전 선제 조치 — IGA와 병행

외주·퇴직자 접근권한 전수 회수 · 특권/공용 계정 소유자 지정 및 불필요 권한 제거 · 대량조회·USB 등 반출경로 임시 통제 강화 · 유출 사고 통지 판단 절차 정비(법무·CPO 참여).

결재 요청

3개년 로드맵의 첫 단추인 IGA의 1단계 — 8~12주 현황진단·마스터플랜 수립(1년차 총예산 약 10억 규모 중) 우선 착수를 승인해 주십시오. 진단 결과로 본 구축 범위·예산을 확정해 별도 재상정하며, 2·3년차 AI 방어는 IGA 기반 위에서 순차 추진하고 각 단계는 별도 검증·보고를 거칩니다.

근거: 개인정보보호법 개정(2026-09-11 시행, 과징금 매출 10%·CEO 책임) · 신용정보업감독규정 [별표3] · 전자금융감독규정 · 2014년 카드3사 유출 선례 · 2026 아이덴티티 보안 트렌드(ITDR·AI-DLP·NHI). 수치는 가정 시나리오이며 실제와 다를 수 있음. 법령 해석·수치는 법무·준법·개인정보보호 부서 최종 검토 예정.