수조원대의 공적자금을 주무르는 국책은행과 금융공기관, 정보집중기관 상당수가 정보보호 최고책임자(CISO)제도를 방치하고 있는 것으로 드러났다. 일부 기관은 관련 경력이 전무한 내부 인력을 임명하거나 임원 자리 수를 늘리는 용도로만 활용하고 있었다. 금융공기관발 제2 보안사고 우려가 제기됐다.
18일 본지가 국내 20여곳의 금융공기관 CISO 임용 실태를 취재한 결과, 금융당국이 제시한 CISO 가이드라인을 충족한 곳은 전무하다시피 했다.
전자금융법에 따르면 △정보보호·정보기술(IT) 분야 학위를 보유한 경우 학위 취득 후 1~5년 이상의 관련 경력 △ISA의 인증심사원 등 전문자격을 보유한 자는 2년 이상 정보보호 또는 3년 이상 정보기술 경력을 갖춰야 CISO가 될 수 있다.
하지만 이 같은 가이드라인은 금융공기관에는 무용지물이었다. 전자금융법에 따르면 CISO를 의무적으로 운영해야 하는 공적기관은 20여곳에 달한다. 산업은행, 정책금융공사, 기업은행, 수출입은행, 농협중앙회 등 각 협동조합과 한국거래소, 예탁결제원, 금융투자협회, 신용보증기금, 기술보증기금, 주택금융공사 등이다. 은행연합회와 여신금융협회 등 신용정보 집중기관도 해당된다. 이들 상당수는 보안 경험이 전무한 내부 인력으로 자리를 채우고 있다.
수조원의 벤처기업 지원 자금을 운용하는 정책금융공사는 CISO에 재정경제부와 금융위원회 출신 낙하산 인사를 선임해 논란이 되고 있다. 보안 관련 경력은 전무하고 정책금융공사 설립 준비 원년 멤버라는 이유로 CISO를 임원으로 격상시켜 자리를 내줬다. 경영기획본부장과 CISO를 겸임하고 있어 독립적인 보안투자나 상황대처도 불가능하다.
수출입은행도 IT와 보안 경력이 전무한 인물을 CISO로 임명했다. 선박금융과 기획부장을 거쳐 부행장과 CISO를 병행하고 있다.
국유 재산관리의 허브인 한국자산관리공사는 기획부장 출신 인물을, 기업금융의 상징인 산업은행은 IT본부장이 최고정보책임자(CIO)와 CISO를 겸직하고 있다. 수조원의 보증 업무를 담당하는 보증기금도 상황은 비슷하다. 전문 경력을 갖지 않은 상황이라 CISO 활동이 쉽지 않을 것이라는 평가다.
사회 기관망으로 불리는 신용정보집중기관의 상황은 더욱 심각하다. 은행연합회는 전산부장이 CISO를 병행하고 있고, 여신금융협회는 CISO직이 없는 것으로 확인됐다. 증권 분야도 CISO를 별도로 지정한 곳이 전무하다.
한국거래소와 한국예탁결제원 모두 CIO를 겸임하거나 IT본부 산하에 귀속돼 독립적인 보안 관제 역할을 할 수 없는 구조다. 코스콤이 유일하게 CISO와 CIO를 분리해 운영 중이다.
금감원 관계자는 “CISO 자격요건을 갖춘 인력이 선임됐는지 정밀한 실태파악에 곧 착수하겠다”고 밝혔다.
길재식기자 osolgil@etnews.com, 유효정기자 hjyou@etnews.com
관련 통계자료 다운로드 주요 금융공기관 CISO 운영 현황