웬만한 금융사가 전담 최고정보보호책임자(CISO)를 뒀다. 정부 독려 덕분이다. 물론 최고정보기술책임자(CIO)와 CISO를 겸직한 금융사가 아직 있다. 임원급을 두지 않은 금융사, 특히 보험사도 많다. 그래도 법적 의무화 4월 이전에 전담자 선임과 임원 격상은 이뤄질 전망이다.
기존 CIO를 포함한 기술전문가 중용도 활발하다. 전자신문이 자산 2조원 이상 규모인 금융사 27곳의 CISO 현황을 살펴보니 보안업체 대표 출신을 비롯한 사내·외 기술전문가를 대거 등용했다. 사상 최대 개인정보 유출 사태가 있었던 1년 전과 비교해 진일보했다.
외형은 개선됐지만 내용은 의문이다. CIO든, CISO든 금융사 내에 아직 힘이 없는 존재이기 때문이다. 금융사 CIO는 옛 전산실장 역할을 아직 벗어나지 못한다. CISO 역할은 개인정보 유출 관련 법적 대응 정도로 제한됐다. 관련 투자와 같은 의사결정에 둘 모두 변방에 머문다.
날이 갈수록 정보보호 영역이 커진다. ‘핀테크’로 대표되는 금융과 정보통신기술(ICT) 융합도 본격화했다. CISO와 CIO가 권한은 없이, 책임만 크다면 제대로 뿌리를 내릴 수 없다.
금융사는 그간 법적인 의무만 잘 지켜도 웬만한 정보유출 사고 책임을 피할 수 있었다. 하지만 사전 규제는 없어도 사후 책임을 강하게 묻는 선진국 체계를 언제까지 외면할 수 없는 노릇이다. 정부 핀테크 활성화 정책과 맞물려 금융사 자율 대응 요구는 더욱 커질 것이다.
핀테크는 금융사 미래 생존과 직결된 문제다. 고객 대응부터 신규 비즈니스 발굴까지 금융사 스스로 기술 기반 혁신을 꾀해야 외부 핀테크 공세를 극복할 수 있다. 하지만 관련 투자 판단을 CIO가 아닌 일반 경영진이 한다. 대응은 늦고, 효율성은 의문이다. 금융사도 이제 기술기업처럼 경영해야 하는 시대다. CIO와 CISO는 금융사 안에 몇 안 되는 기술 인적 자원이다. 이들에게 힘을 실어주지 않으면 정부 압박에 따른 시늉이라는 비판을 면하기 어렵다.