금융회사 최고정보보호책임자(CISO) 지정 의무화 세부 기준안 마련을 놓고 향후 진통이 예상된다. 무엇보다 일부 대형은행을 제외한 대부분의 금융회사가 IT인력 구조가 열악한 상황이어서 CISO 의무화 기준안 마련이 쉽지 않기 때문이다.
30일 금융권에 따르면 최근 금융회사 CISO 지정 의무화를 발표한 금융감독원이 이르면 오는 8월 중으로 세부 기준안을 발표할 예정이지만 관련 업계는 아직 이렇다 할 방향조차 잡지 못하고 있는 실정이다. 이로 인해 CISO 지정 의무화 추진에 정작 당사자인 금융회사들은 손을 놓고 있다.
◇CISO 기준, 임원·전임 여부가 최대 쟁점=현재 금융권에서 CISO 지정 의무화 기준 중 쟁점이 되는 사항은 △임원으로 할 것인지 부서장급 이상으로 할 것인지 △전임으로 할 것인지 겸임을 허용해 줄 것인지 △금융그룹 차원에서 총괄하는 CISO를 지정해도 되는 것인지 등이다. 또 이러한 기준이 금융회사 규모별로 다르게 적용된다면 이를 구분하는 기준은 무엇으로 할 것인지도 관심사다.
가장 큰 쟁점은 CISO의 직급이다. 금융감독원은 당초 CISO는 기존의 CIO와 동일한 직급을 갖고 독립적인 권한을 행사할 수 있도록 해야 한다는 원칙을 세웠다. 그러나 이 원칙은 은행권 최초 전임 CISO 선임부터 지켜지지 않았다. 최근 농협의 CSO로 선임된 한정열 정보보호부장은 현 CIO인 정종순 IT본부분사장보다 직급이 낮다. 한 부장은 M급으로 임원이 아니고 정 분사장은 상무대우로 임원이다. 더욱이 정보보호부는 IT본부분사 내에 소속돼 있어 CIO의 관할을 받는다.
이에 대해 금융감독원 관계자는 “CISO가 반드시 임원이어야 한다고 규정한 것은 아니다”고 한 발 물러난 입장을 밝혔다. 향후 CISO가 부서장으로도 가능할 경우 대부분의 금융회사들은 큰 문제 없이 CISO를 지정할 수 있다. 이미 대형은행은 부서장급으로 정보보호 담당자를 두고 있다. 그러나 금융회사 내부의 정보보호 정책은 여전히 CIO 권한 아래에 있어 현재와 크게 달라질게 없다.
또 다른 쟁점은 전임 여부다. 현재 대부분의 CIO가 CISO를 겸임하고 있는 상황에서 전임을 의무화하는 것이 아니라면 이번 금감원의 IT보안 강화 정책 중 CISO 도입부분은 전혀 새로운 것이 없는 셈이다.
여기에 이러한 기준을 어느 규모의 금융회사에까지 적용하는지도 관건이다. 금감원은 현재 가능한 예외를 최소화해 전 금융회사에 적용할 계획이다. 그러나 대형 금융회사를 제외한 중소형 금융회사의 경우 정보보호인력은 커녕 IT인력도 5명 안팎에 불과하다.
이런 상황에서 CISO를 지정한다는 것은 현실적으로 불가능하다. 중소형 증권·보험사와 저축은행, 캐피탈 업체는 일부를 제외하고는 대부분 CIO조차도 없다. 이러한 쟁점이 세부 기준안 마련을 어렵게 하는 요인이기도 하다.
◇금융권, 그룹CISO ‘요구’ VS 금감원 ‘불허’=대형은행을 비롯한 대부분의 금융회사들은 CISO 도입에 시큰둥한 반응이다. 표면적으로는 아직 명확한 기준안이 마련되지 않았기 때문이라지만 실질적인 이유는 CISO를 지정하지 않겠다는 의도가 깔려있다. CISO를 지정하면 임원 자리를 새로 신설해야 하기 때문에 인사, 재무 등 여러 이슈가 존재한다. 현재로서는 20명도 채 안되는 인력을 총괄하기 위해 임원을 두기는 쉽지 않다. 그 대안으로 금융그룹 계열의 금융회사들은 그룹 차원으로 CISO를 지정하기를 희망한다.
이에 대해 금융감독원은 금융그룹 차원의 CISO 지정은 불허한다는 입장이다.
이윤재 금감원 팀장은 “CISO는 현장에서 직접 관리할 수 있어야 하는데, 지주 소속으로 돼 있으면 여러 현장을 실질적으로 관리하기가 힘들다”면서 “지주 소속의 CISO 도입은 생각하지 않고 있다”고 말했다.
이에 따라 금감원이 오는 8월 CISO 기준안을 확정, 발표하면 금융회사의 반발도 적지 않을 것으로 예상된다.
신혜권기자 hkshin@etnews.co.kr