`최고정보보호책임자(CISO)는 보안사고가 나면 책임지고 떠나지만 최고위험관리책임자(CRO)는 이사회 결의를 거쳐야 해임할 수 있다.`
금융회사가 반드시 선임해야 하는 두 C레벨 운명이 엇갈렸다.
금융회사는 2013년 농협과 신한은행 등 금융전산 사고를 계기로 보안강화를 위해 CISO 전임제를 도입했다. 금융회사의 지배구조에 관한 법률이 8월 1일부터 시행되면서 금융회사는 이달 말까지 CRO도 임명해야 한다.
사이버 위협을 관리하는 CISO와 금융 전반 위험을 책임지는 CRO 체제가 형성됐다. 두 C레벨은 온라인과 오프라인에서 위협을 총괄하는데 처우는 차이가 크다.
새로 생긴 CRO는 금융회사 리스크 한도 수립과 정책을 결정한다. 자산운용과 각종 거래에서 발생하는 위험을 점검하고 관리한다. 금융사 지배구조법에 따라 자산규모 5조원 이상 모든 금융회사는 임원급 CRO를 임명해야 한다. CRO는 독립성이 보장돼 이사회가 임명하며 2년 이상 임기도 보장된다.
사이버 위협을 관리하는 CISO는 금융감독규정에 근거한다. CISO는 정보보안 업무를 총괄하는 임원으로 기업 정보기술과 자산을 보호하고 사이버 위협을 방지하는 컨트롤 타워 역할을 한다. CISO 선임은 이사회 임명 사안이 아니다. 금융전산사고가 발생하면 책임지고 물러나는 자리라는 인식이 강하다. 금융사는 CISO 자리에 정보보호 전문가를 선임하기보다 내부 임원의 마지막 보직으로 여긴다.
한국은행에 따르면 인터넷뱅킹(모바일 뱅킹 포함) 하루 평균 이용 건수는 8627만건으로 거래액은 42조3779억원 규모에 달한다. 매년 인터넷뱅킹 등 IT서비스를 이용하는 비대면 거래는 증가했지만 점포수는 최소로 줄였다. 인터넷전문은행 설립과 핀테크 서비스까지 앞 다퉈 준비 한다. 금융에서 IT서비스 비중이 높아져 사이버 위협 관리 중요성은 더 커졌다.
A기업 CISO는 “초기 CISO 도입 취지와 달리 시행 3년차가 되면서 일부 회사는 독립적인 정보보호 조직을 CIO 아래로 넣는 사례가 나타났다”면서 “금융 비즈니스 중심이 사이버로 이동하면서 관련 위협 복잡도는 증가하는데 CISO는 자리보전을 고민해야 한다”고 지적했다.
B기업 관계자는 “IT운영 효율성과 IT보안 안전성은 이해관계가 상충하는 업무로 사이버 위협을 효과적으로 관리하려면 CISO는 CRO처럼 독립성과 임기가 철저히 보장돼야 한다”고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com