금융회사 대부분이 최고정보책임자(CIO)가 최고정보보호책임자(CISO)를 겸직하도록 해 전자금융거래법 개정안 시행 취지가 무색해졌다.
CISO 선임 의무화는 CIO조직과 별도로 독립적인 정보보호 역할을 수행하도록 함으로써 보안을 강화한다는 것이 당초 취지였다.
14일 금융권에 따르면 CISO 선임 의무화를 담은 전자금융거래법 시행을 앞두고 신한은행과 기업은행, 현대카드·캐피탈 등 일부 금융회사를 제외한 금융사 대부분은 CIO가 CISO를 겸직하도록 결정했다. 농협금융지주 계열 금융사, 하나은행 등도 별도 CISO 선임을 추진 중이지만 아직 결정하지 않았다. 전자금융거래법 개정안은 15일 시행된다.
은행권에서는 국민·우리·하나·외환·대구·부산·경남·광주·제주·전북은행이 CIO가 CISO를 겸직하도록 했다. 이 중 국민·우리·하나·외환·대구·부산은행은 기존 CIO가 CISO를 맡는다. 모두 IT 분야에서 오래 근무한 경험을 갖고 있다.
경남은행은 최근 김흥운 전 국민은행 부행장을 영입하고 광주은행은 지난 3월 신명호 전 IT기획부장을 본부장으로 승진, CIO와 CISO를 겸직하도록 했다. 제주은행은 유영목 IT기획부장을 본부장으로 승진, CIO와 CISO를 겸직하게 하는 인사를 14일 발표했다. 전북은행은 전산부장 출신 김종만 본부장이 CISO도 추가로 맡는다.
CIO가 현업 출신이었던 신한은행은 최근 서춘석 IT개발본부장을 CISO로 선임했다. 기업은행도 IT본부와 분리된 별도 정보보호 조직을 설립하고 이를 총괄할 CISO를 선임한다. 금융지주 설립으로 최근 분사된 농협은행도 별도 CISO 선임을 추진하고 있다. 농협 CISO는 본부장급이나 상무급이 선임될 전망이다.
제2 금융권에서는 정보유출 사고를 겪은 현대카드·캐피탈이 앞서 안랩 출신 전성학 전 시큐리티대응센터장을 CISO로 영입한 바 있다. NH생명보험과 NH화재보험도 CISO 선임을 고려 중이다. 그 외 대부분 제2 금융사는 CIO가 CISO를 선임하도록 했다.
IT조직을 그룹 계열 IT서비스기업으로 통합했던 금융회사도 최근 잇달아 CISO를 선임했다. 한화S&C로 IT조직을 통합한 대한생명이 CISO를 선임한 것을 비롯해 그룹 계열 금융회사도 CISO 선임을 추진하고 있다. 반면에 하나금융그룹 계열 하나INS로 IT조직을 통합한 하나대투증권과 하나SK카드는 아직 CISO를 선임하지 못하고 있다.
한 정보보호 전문가는 “CIO가 CISO를 겸직하게 되면 정보보호 정책이 독립적으로 이뤄지는 데 한계가 있다”면서 “현재처럼 금융회사 대부분이 겸직하는 방향으로 대응한다면 정보보호 강화 취지는 살리지 못 할 것”이라고 우려했다.
은행권 CISO 선임 현황
자료 : 각 은행 종합
신혜권기자 hkshin@etnews.com