[人사이트]김병철 대신증권 전무

“최근 90% 이상 금융거래가 인터넷상에서 이뤄지는 특성을 고려할 때 금융회사에서 정보보호 업무를 총괄하는 CISO(정보보호최고책임자)의 역할은 매우 중요합니다. 하지만 정보보호 강화 추세에 따라 보안사고가 생기면 CISO의 책임과 범위는 커지고 있으나 그에 상응하는 업무 권한 수준은 따라가지 못하는 것이 현실입니다.”

금융투자협회 산하 증권·선물CISO협의회 회장을 맡고 있는 김병철 대신증권 전무는 최근 CISO의 중요성이 강조되고 있지만 아직 책임과 권한이 명확하지 않다는 부분이 아쉽다고 말한다.

전문가들도 정보보호에 있어 100% 안전하다는 보장은 불가능하다는 현실에서 회사의 중요 정보자산에 대한 실질적인 보호조치를 수반하기 위해서는 전사적인 정보보호 활동이 선행돼야 한다. 이를 위해 회사 정보자산의 중요성을 공유하고 CISO의 실질적인 권한을 확대해 정보보호 컨트롤타워로서의 역할을 맡겨야 한다는 것이 김병철 전무의 생각이다.

대신증권 CISO로서 중점적으로 추진하는 분야에 대해 김 전무는 “정보보호 체계 강화와 온라인 서비스 보안 강화, 자체 정보보호 역량 강화라는 세 가지 목표를 가지고 업무를 수행하고 있다”고 말했다. 실제로 대신증권은 2015년을 정보보호 원년으로 선언하고 정보보호 활동을 위한 선제적 대응을 위해 발빠르게 움직이고 있다.

올해 초 설립된 증권·선물CISO협의회는 55개 증권사와 7개 선물회사, 유관기관으로 구성된 조직이다. 금융투자회사의 정보보호 시스템을 구축·운용하고 사이버침해 공동 대응, 정보보호업무 조사·연구 등을 추진해 공동의 이슈를 해결하고 합리적인 대안을 찾는데 주력하고 있다.

최근에는 협의회 산하에 실무반을 두고 액티브X 사용 폐지 및 공인인증 의무사용 폐지, 핀테크시대에 대응한 보안기술 검토 등 기술적 기능 정비를 위한 작업을 추진 중이다.

현재 증권사의 CISO 지정 현황은 지난해 개정된 전자금융거래법에 의거해 총자산 10조원 이상, 종업원 수 1000명 이상인 금융회사에 CISO 겸직이 제한돼 별도로 선임해야 한다. 금융투자회사 기준으로는 대신, 대우, NH투자증권 등 10곳이 해당된다.

정보기술 발전과 함께 정보자산에 대한 위협이 커지고 있는 현실과 관련해 김 전무는 “최근 정보유출 사고를 보면 회사에서 발생할 수 있는 리스크는 과거에 비해 엄청난 파급력을 지니고 금융기관의 생존을 위협하는 수준으로 커졌다”며 “이제 정보자산의 유출·침해사고는 형사처벌이나 행정처분의 문제가 아닌 금융기관의 생존과 존폐를 위협하는 문제로 인식하고 발생가능한 위험을 파악해 체계적으로 방어할 수 있는 업무 체계를 마련해야 한다”고 주장했다.

이성민기자 smlee@etnews.com