금융기관이 창구를 없애고 거래를 인터넷과 모바일로 처리한다. 인터넷과 모바일 거래는 고객에게 편리함을 준다. 금융기관에 비용을 절감할 수 있는 대안이지만 여전히 금융거래의 상당수를 처리하는 IT 인프라 투자는 미흡하다. 특히 정보보호 투자는 낙제 수준이다. 사이버범죄가 최근 전자금융 시스템에 집중된 것도 이와 무관하지 않다.
올 초 3개 신용카드사에서 1억건이 넘는 개인정보 유출 사건이 발생했다. 엄청난 규모뿐 아니라 신용도 등 매우 민감한 정보까지 포함돼 큰 사회적 파장을 일으켰다. 금융 감독 당국은 사고 후 대책으로 최고정보보호책임자(CISO)제를 도입했다. CEO에게 보안의 중요성을 알리고 협업 부서와 독립적으로 전자금융망의 안전을 진두지휘하는 자리다.
CISO 제도가 만들어지자 정보보호 업계는 환영했다. 정보보호가 전자금융의 중요한 요소로 인정받았다는 생각 때문이다. 그런데 실제 금융권 생각은 달랐다. 그냥 내부에 또 하나의 임원 자리가 생겼다는 반응이다. 최고정보책임자(CIO)가 CISO를 겸직하는 금융기관이 60%를 웃돈다. 그나마 분리해도 CIO가 CISO의 권한을 인정하지 않고 아랫사람처럼 부리는 일이 허다하다.
상황이 더 심각한 경우도 있다. 만년 부장으로 사고를 치지(?) 않으면 내보낼 수 없었던 사람을 CISO로 앉힌다는 소문까지 무성하다. 보안은 잘하면 당연한 것이고 사고가 발생하면 바로 책임지고 물러나는 자리기 때문이다. 언제든지 내보낼 수 있는 자리에 필요한 사람을 골라 보내는 식이다. 오죽하면 금융감독원이 CISO 자격 기준 감사를 하겠다고 나섰을까.
사정이 이렇다 보니 보안전문가를 찾지도 않는다. 외부 전문가가 들어오면 금융사 내부만 시끄러워질 뿐이다. 그동안 잘못된 제도와 관행을 모두 바꾸려할 것이 분명하니 꺼린다. 그저 임원자리 하나 생긴 듯 바라보는 금융권에서 정보보호 강화를 위해 만들라는 CISO 자리의 의미는 퇴색했다. 개인정보 유출로 얼마나 더 큰 손실을 봐야 정신을 차릴 것인가.