대규모 정보유출 사건으로 금융권 최고정보보호책임자(CISO)의 중요성이 강조됐지만 현장에서 체감하는 CISO의 권한과 위상은 크게 미치지 못한다.
‘귀한 몸’이 될 것이라는 기대와 달리 독립성도 보장받지 못하고 사고발생 시 책임만 지는 자리라는 인식이 확산되면서 전문가 확보마저 어려워지고 있다.
23일 업계에 따르면 연이은 금융보안사고 이후 금융당국은 금융회사 CISO제도를 지속적으로 강화하고 있다. 총자산 2조원·종업원 300명 이상인 금융회사는 CISO를 임원급으로 선임하도록 의무화했고 CISO가 최고정보책임자(CIO) 업무를 겸직하지 못하도록 하는 법안도 국회 정무위원회를 통과해 연내 법제화가 유력하다.
금융권도 사고가 터질 때마다 CISO 도입을 포함한 정보보안 강화방안을 발표해왔다. 하지만 실제 움직임은 미흡한 수준이다.
주요 50개 금융회사 가운데 3월 말 기준 독립된 임원급 CISO를 배치한 회사는 17개사에 불과했다. 금융감독원은 임원으로 표기된 CISO 가운데 일부는 다른 업무를 겸하거나 내부 직급만 임원급인 것으로 파악하고 있다.
금감원 관계자는 “여전히 60% 이상 금융사가 CIO와 CISO를 겸직하고 있고 CISO를 CIO의 하부 조직처럼 운용하기도 한다”며 “자격 기준에 맞지 않는 CISO를 임명한 회사도 적지 않아 하반기 집중 실사를 계획하고 있다”고 말했다.
당초 금융권 안팎에서는 CISO 수요가 급증하면서 IT 보안전문가 몸값이 상승할 것이란 예상이 있었다. 하지만 CISO 제도를 요건에 맞춰 제대로 운용하는 회사가 드문 데다 권한은 없고 사고책임만 묻는 자리라는 뜻의 ‘총알받이’ ‘OTP(One Time Prison)’라는 말만 확산되고 있다.
최근 CISO 취업을 위해 몇몇 금융회사와 접촉했다는 한 보안전문가는 “급여수준이 금융권 임원 평균에 비해 턱없이 낮게 책정됐고 보안사고가 발생하면 임기를 보장할 수 없다는 각서까지 요구받았다”며 “잘못 움직였다가는 책임만 지는 꼴이니 CISO제도가 충분히 정착된 후 이직하는 게 좋겠다는 조언을 많이 들었다”고 말했다.
현직 은행권 한 CISO는 “IT보안 투자는 비용요인이고 사업부의 보조수단이라는 인식이 여전하다”며 “금융당국 감독에 대비하고 문제가 없도록 하라는 고위층 지시도 자주 듣는다”고 토로했다.
업계에서는 CISO제도의 바람직한 운영방안으로 △CISO의 실질적 독립성 보장 △명확한 직무 분리 △보안강화를 비용이 아닌 투자로 인식하는 문화 정착 등을 꼽고 있다.
금융위 관계자는 “금융보안을 강화하려면 CISO의 독립성이 보장되고 사내 위상도 높아져야 한다”며 “CISO 임기 보장과 제도를 뒷받침할 정보보호위원회 조직 구비 등을 주문하고 있다”고 말했다.
김승규기자 seung@etnews.com, 길재식기자 osolgil@etnews.com
-
길재식 기자기사 더보기