[CIO BIZ+]집중분석-금융회사 CISO 선임 의무화

관련 통계자료 다운로드 CISO 선임 의무화 적용 금융기관

최고정보보호책임자(CISO) 선임 의무화 규정을 담은 전자거래기본법 개정안이 오는 5월15일 시행된다. 입법예고 한 시행령이 최종 확정되면 자산규모 2조원 이상, 정규 직원이 300명 이상인 금융회사는 임원급으로 CISO를 선임해야 한다. 금융회사 CISO 지정 의무화 제도를 분석해 봤다.

금융권에서 CISO 선임 의무화는 `뜨거운 감자`다. 전자금융거래법 개정안 시행으로 해당 금융회사는 CISO를 선임해야 하는데, 임원을 늘린다는 게 쉽지 않다. 그렇다고 법률로 정한 것을 무시할 수도 없는 노릇이다. 금융위원회는 CISO 선임 여부를 금융회사 경영평가에 반영하는 방안도 검토 중이다. 대안이 없는 것은 아니다. 법에서 CISO를 CIO가 겸직할 수 있도록 허용해줬기 때문이다. 금융회사 정보보호 수준을 높이기 위해 도입하는 CISO 의무화 제도가 용두사미에 그칠 것이라는 전망도 나온다.

◇중대형 금융회사 CISO 선임해야=자산규모 2조원 이상, 직원수가 300명 이상인 금융회사는 약 70여개다. 은행은 전부 포함된다. 규모가 가장 작은 제주은행도 지난해 3분기 기준으로 자산이 3조원이고 정규직 직원 수는 342명이다.

생명보험사로는 삼성·교보·대한·ING·미래에셋·알리안츠·동양·푸르덴셜생명 등 20곳이 포함된다. 손해보험사는 삼성·현대해상·동부·LIG·메리츠화재 등 다수가 해당된다. 증권사도 대우·삼성·현대·미래에셋·대신·우리투자·하나대투증권 등 상당수에 이른다. 신한·현대·삼성·롯데·하나SK카드 등 모든 카드사도 해당된다.

캐피탈 업계에서는 현대캐피탈과 아주캐피탈이 대상이다. 저축은행은 현대스위스저축은행 솔로몬저축은행 등이 자산규모는 2조원이 넘지만 직원수가 300명 미만이어서 해당이 안 된다. 저축은행은 제1, 제2 등으로 법인을 분리해 직원수가 적다.

이들 중 전자금융거래법에 명시된 임원급 CISO를 선임한 금융회사는 단 한 곳도 없다. 최근 CISO를 선임한 농협과 국민은행도 부장급이다. 대부분 최고정보책임자(CIO)가 겸직하고 있다. 향후 법이 시행되면 CISO를 겸직하는 CIO는 정보보호 관련 자격을 갖춰야 한다. 해당 금융회사 고민이 깊어지는 대목이다. 이종림 금융위원회 사무관은 “CIO가 CISO를 겸직하게 한 것은 현실을 반영한 것”이라며 “그러나 자격요건을 명시해 정보보호를 강화할 수 있도록 하겠다”고 말했다.

◇대부분 금융사, CIO가 CISO 겸직할 듯=해당 금융회사는 임원급 CISO를 선임하던가, 아니면 CIO가 CISO를 겸직하도록 해야 한다. 소수 대형 금융회사를 제외한 대부분 해당 금융회사는 CIO가 CISO를 겸직하는 방안을 선택할 것으로 보인다. 문제는 CIO가 현업 출신이거나 CIO가 없는 금융회사다.

입법예고한 시행령에는 CISO는 정보보호 관련 전문학사 취득 후 4년이상 정보보호 경력이나 6년 이상 IT경력을 보유해야 한다고 명시돼 있다. 학사학위자는 각각 2년과 3년 경력이 필요하다. 석사학위자는 각각 1년과 2년 경력을 갖춰야 한다. 학위가 없거나 관련 분야 전공이 아닌 경우는 경력 기간이 더 늘어난다. 정보보호전문가, 공인정보시스템감사사 등 자격증을 소지하면 관련분야 학사학위자로 인정한다.

현재 이런 자격을 갖추지 못한 CIO가 적지 않다. 현업 출신으로 IT경력이 CIO로서 근무한 기간이 전부다. 대부분 1~2년에 불과하다. CISO를 겸직하려면 자격을 갖춘 CIO로 교체가 불가피하다. CIO를 도입하지 않은 금융회사는 문제가 더 심각하다. 우리금융그룹 계열 경남·광주은행, 하나금융그룹 계열 하나대투증권·하나SK카드 등은 CIO가 없다. 한화그룹 계열 대한생명·한화손보·한화증권도 CIO가 없다. 이외에 중형 금융회사 중 일부가 CIO를 선임하지 않고 있다.

이달 금융지주로 전환하는 농협도 CISO 선임이 골칫거리다. 금융지주 출범에 따라 NH생명보험, NH손해보험이 별도 법인으로 분리됐기 때문이다. NH생명보험과 NH화재보험 모두 자산규모와 정규직 직원수가 기준을 넘어섰다.

금융회사들은 현재로서는 시행령이 최종 확정되는 것을 지켜보겠다는 입장이다. 그러나 농협, 국민은행, 하나금융그룹 계열 금융사 등은 임원급 CISO 선임을 적극 검토하고 있다. 농협 관계자는 “기존에 부장급으로 CISO를 선임한 농협은행은 임원급 CISO를 새로 선임할 것”이라며 “새로 출범한 NH생명보험, NH화재보험 등도 임원급 CISO 선임을 검토하고 있다”고 전했다. 하나금융그룹 관계자는 “하나은행은 CIO가 겸직을 하는 방안을, 하나대투증권과 하나SK카드는 임원급 CISO 선임을 논의 중이다”고 설명했다. 우리금융그룹은 최근 진행한 정보보호 종합 컨설팅 결과를 기반으로 계열사 CISO 선임 방안을 마련할 것으로 보인다.

◇CISO 의무화, 제역할 할 수 있을까=금융회사 정보보호 수준을 높이기 위해 도입된 CISO 선임 의무화가 제 역할을 못할 것이라는 지적도 있다. CISO 선임 의무화 기준이 자산규모 2조원으로 높아져 정보보호에 취약한 중소 금융회사들이 대거 제외됐다. 개인 이용자가 늘어나고 있는 저축은행·캐피탈 등에서 개인정보 유출 우려가 높아지고 있다.

CIO 겸직을 허용하게 한 것도 문제다. 이미 대부분 금융회사는 CIO가 정보보호를 총괄하고 있다. 그럼에도 불구하고 정보보호 사고는 끊이지 않는다. 전사 정보보호 정책이 독립적으로 마련되지 못했기 때문이다. IT정책에 좌지우지 되는 경우가 많다. CIO 조직 내 정보보호팀이 존재하다 보니 정보시스템 구축 및 운영 편리성이 우선시 되고 정보보호가 뒷전으로 밀리는 사례도 많다. 미국 등 선진 금융회사는 CISO 조직을 CIO 조직과 분리해 별도로 운영한다.

CISO 선임 의무화 규정을 지키지 않았을 때 가해지는 제재가 없다는 것도 문제다. 현재 전자금융거래법이나 시행령에는 의무화만 명시돼 있을 뿐 이를 어겼을 때 받는 처벌 조항이 없다. 금융회사가 무리하게 CISO를 선임하지 않는 이유다.


CISO 선임 의무화 적용 금융기관

자료 : 전자공시시스템

입법예고 한 CISO 자격요건

자료 : 금융위원회

[CIO BIZ+]집중분석-금융회사 CISO 선임 의무화

[CIO BIZ+]집중분석-금융회사 CISO 선임 의무화


신혜권기자 hkshin@etnews.com