지방은행과 저축은행 상당수가 여전히 정보보호최고책임자(CISO)가 최고정보관리책임자(CIO)를 겸직하는 것으로 나타났다. 규정상 불법은 아니지만, 이들 금융사가 여전히 보안투자에 소극적이라는 점을 반증한다는 점에서 대안마련이 필요하다는 지적이다.
25일 금융권에 따르면 대형 저축은행은 물론 중소 저축은행도 CISO를 겸직하는 것으로 확인됐다. 자산규모만 3조가 넘는 SBI저축은행까지 CISO와 CIO를 겸직하고 있다.
CISO는 금융사 고객 정보보호를 책임지는 임원, CIO는 정보를 이용하는 IT 관련 업무를 책임지는 임원이다.
SBI저축은행 CISO는 시스템 개발·관리를 총괄하는 정보시스템실에서 정보보호팀을 동시에 운영하고 있다. IT와 보안이라는 상충되는 두 분야를 한 명이 맡는 구조다.
웰컴저축은행은 상무급 임원이 CISO와 CIO를 겸직 중이다. ‘정보보호본부’라는 독립 부서를 운영하지만, CISO는 실질적으로 정보보호뿐만 아니라 ICT까지 도맡고 있다.
친애저축은행도 이사급 CISO가 CIO 역할까지 하고 있다. 동부저축은행은 임원이 아닌 부장급 팀장을 CISO로 두고 있다.
소형 저축은행은 CISO를 아예 두지 않은 곳도 많다. 대부분 저축은행중앙회를 통해 IT전산과 보안을 대행하는 형태로 운영한다.
지방은행도 상황은 비슷하다. 전북은행과 광주은행은 본부장이 CISO와 CIO를 겸직한다. 자산 51조원이 넘는 부산은행도 부행장보가 CISO와 CIO를 모두 맡고 있다.
이들 금융회사는 현 CISO의 임기가 끝난 뒤 신규 선임할 때 CIO 업무를 분리시키겠다는 방침이다.
금융위원회는 지난 4월 CISO의 다른 업무 겸직이 제한되는 금융회사 범위를 총자산 10조원 이상, 상시 종업원 수 1000명 이상인 금융회사로 규정했다.
저축은행과 일부 지방은행은 겸직 금지가 적용되지 않지만, 최근 핀테크 기반 다양한 비즈니스가 속출하면서, CISO 독립 운영과 보안인력 강화, 투자를 높여야 한다는 여론이 지배적이다.
구태언 테크앤로 대표변호사는 “CISO와 CIO 역할을 명확히 구분해야 한다”며 “한 사람이 두 자리를 다 맡게 되면 신속하고 체계적인 보안 대응이 힘들다”고 지적했다.
구 변호사는 “소형 금융사도 이제 보안을 비용이 아닌 투자로 인식해야 한다”고 덧붙였다.
<저축은행·지방은행 CISO·CIO 현황>
김지혜기자 jihye@etnews.com