금융권에서 정보보호최고책임자(CISO)의 중요성이 높아지고 있다. 일정 규모 이상의 금융회사는 임원급 CISO제도를 의무적으로 배치해야 한다. 연내 최고정보책임자(CIO)와 CISO의 겸직을 금지하는 방안도 마련될 것으로 보인다.
반면에 전문인력 한 명 영입한다고해서 금융보안 시스템 전반에 획기적 변화가 나타날 것으로 기대하기는 어렵다. 무엇보다 CISO에게 독립적 기능을 부여하고 이들이 제대로 활동할 수 있게 하는 전사차원의 노력이 함께 경주돼야 한다.
정인화 금융감독원 IT감독실장은 “CISO가 CIO와 수평적 관계에서 상호 견제와 협력을 해야 하지만, 대부분의 경우 CISO 직위가 CIO보다 낮거나 산하조직에 위치하며 종속되는 일이 많다”며 “CISO의 직위를 CIO와 대등한 수준으로 격상시키고, CEO에게 직접 보고할 수 있도록 독립성도 부여해야 한다”고 밝혔다.
CISO의 역할을 기존 업무와 명확히 구분하는 것도 필요하다. 금융권에 따르면 CISO 지정제도가 시행된지 2년이 지났지만 아직도 CISO가 정보보안 업무 이외에 IT운영 업무를 병행하는 사례가 다수다. IT보안과 정보보호를 책임져야 할 CISO가 IT운영의 효율성을 함께 고민하게 될 경우 정확한 의사결정을 내리기 힘들다. 전문가들은 CISO를 IT운영 업무에서 완전히 배제시켜 IT보안 고유 업무에 전념할 수 있도록 조직 환경이 만들어져야 한다고 조언하고 있다.
보안을 단순한 비용으로만 보는 인식도 빨리 개선돼야 한다. 카드 3개사의 정보유출 등 최근 금융전산 사고가 발생하면서 IT보안에 대한 투자 확대 필요성에는 많은 공감대가 형성되고 있다. 하지만 아직도 보안 강화에 드는 비용을 지출하는 데는 금융회사들이 소극적인 때가 많다. 전자금융거래 안정성 확보와 이용자 보호는 조직 생존을 위해 관심을 가져야 하는 필수불가결한 투자라는 인식이 보다 넓게 확산돼야 한다.
금융회사도 이익을 내야하는 영리집단이다. 이 때문에 금융권 최고경영자(CEO)들 역시 영업과 마케팅 중심의 경영원칙을 강조하는 때가 많다. 우선 순위에서 IT보안 투자가 밀려나기 쉽다는 것이다.
금융회사 전산팀 한 관계자는 “CISO제도가 잘 정착되기 위해서는 무엇보다 각 금융회사 CEO의 관심과 지원이 가장 중요하다”라며 “금융당국도 CISO제도가 ‘유명무실’하게 운영되지 않도록 적절한 계도와 감독에 나서야 한다”고 말했다.
김승규기자 seung@etnews.com