[이사람]김인석 고려대학교 정보보호대학원 교수

“최고정보보호책임자(CISO)는 실제 직급이 임원이냐 아니냐가 중요한 게 아니라 임원 권한을 갖고 있는지 아닌지가 중요합니다.”

김인석 고려대 정보보호대학원 교수는 최근 3·20 사태 이후 논란이 되고 있는 임원급 CISO 선임에 대해 포문을 열었다. 김 교수는 과거 금융감독원에서 가장 오랜기간 IT감독 업무를 수행한 금융IT 전문가다.

김 교수는 “현재 대부분의 금융회사는 최고정보책임자(CIO)가 CISO를 겸직하고 있는데 이 보다는 부장급이라도 CIO 조직과 분리된 별도 조직을 갖고 정보보호를 조율할 수 있어야 한다”고 강조했다. 이어 “금융그룹은 지주 계열 IT서비스기업이 정보시스템을 운영하기 때문에 금융회사별로 CISO를 두는 것보다 지주사에 두는 것이 효과적”이라고 덧붙였다.

금융회사가 도입한 CIO와 CISO, 최고개인정보책임자(CPO) 등의 역할이 모호한 것도 개선할 사항으로 지적했다. 김 교수는 “3·20 사태처럼 문제가 발생했을 때 각각의 역할과 책임이 명확하게 정의돼 있어야 한다”며 “역할과 책임이 명확하지 못하면 사태 발생 후 혼란을 겪게 된다”고 말했다.

김 교수는 CIO와 CISO, CPO 등의 역할을 명확히 재정립하고 금융시스템 안정성과 혁신을 주도할 관리자 양성 과정을 개설했다. 고려대와 투이컨설팅이 공동으로 개설한 `금융IT 보안·전략 전문가 과정`은 금융회사 CIO·CISO·CPO와 후보자가 대상이다. 금융IT 혁신과 운영전략, 정보보호 정책 이해와 보안 사고에 대한 법적 대응, 스마트 금융 IT 추진과제 등을 교육한다.

교육은 오는 15일부터 10월 30일까지 진행한다. 고려대 정보보호대학원 교수와 보안·금융IT 전문가들이 대거 강사진으로 참여한다. 김 교수는 “금융권 최대 이슈인 금융정보보안 개념과 대응방안 등을 명확하게 수립할 수 있는 기회가될 것”이라고 말했다.

김 교수는 “금융회사의 CIO나 IT부서장은 기본적으로 IT 전문가가 돼야 한다”며 “그동안 IT부서 과장급만 돼도 IT를 멀리하는 경향이 있었다”고 지적했다. 결국 이들은 IT전문가도 아니고, 금융 현업 전문가도 아닌 사람이 되는 경우가 많다.

최근 이러한 문제를 해결하기 위해 국민은행 등 은행권 중심으로 대학과 연계해 금융IT 교육을 강화한다. 고려대는 올해 국민은행 등과 맞춤형 석사과정을 개설한 데 이어 내년 1학기부터 금융보안 정규 석사과정도 신설한다.

신혜권기자 hkshin@etnews.com