대형금융사들 “정보문지기 어디 없소”

정보활용 역할 맡은 CIO와 겸직… 본보 조사결과 25곳중 10곳만 분리

크게보기

지난달 20일 신제윤 금융위원장은 1억400만 건의 개인정보 유출 관련 기자간담회를 열었다. 신 위원장은 이 자리에서 “금융회사 정보보호 최고책임자(CISO)들의 전문성을 높여야 한다”고 말했다. 이는 금융사들이 CISO의 권한과 책임을 명확히 하라는 주문이었다.

실제로 대형 금융회사의 절반 이상은 ‘정보 보호의 파수꾼’인 CISO를 별도로 두지 않고 있는 것으로 조사됐다. 정보기술(IT) 전략을 수립하고 IT 시스템을 관리하는 최고정보책임자(CIO)가 CISO 업무를 겸직하고 있는 것이다.

금융사들은 “CISO를 임명하려고 해도 전문 인력을 구하기 힘들다”는 하소연을 하고 있다. 이런 점 때문에 정부와 금융업계가 함께 중장기적 관점에서 관련 인력을 양성하기 위한 구체적인 방안을 마련하고 지속적인 노력을 기울여야 한다는 지적이 나온다.

○ 정보보호-IT 자격증 소지자 13% 불과

동아일보 취재팀이 최근 주요 은행 8곳, 보험사 9곳, 카드사 8곳 등 업계별 자산규모 상위 금융사들의 CIO 및 CISO의 현황을 조사한 결과 25곳 중 10곳만 CISO를 따로 두고 있었다.

은행 중에서는 KB국민, 신한, 기업, SC은행만 CISO를 별도로 두고 있었다. 보험사 9곳 중에서는 삼성화재와 신한생명 두 곳, 카드사 중에서는 신한 삼성 현대 하나SK카드가 CIO와 CISO를 분리시켰다. 정보보안 전문가들은 CIO와 CISO의 역할과 책임이 전혀 다르기 때문에 둘을 겸직해서 얻는 시너지 효과보다는 부작용이 크다고 지적한다. 씨티, HSBC, BNP파리바그룹 등 글로벌 금융그룹이 두 직책을 분리해서 운영하는 이유다.

김미랑 성균관대 교수는 “CIO가 고객정보를 영업에 활용하자고 제안했을 경우 이에 대한 법적인 근거가 무엇이며 정보제공에 대한 고객 동의를 구했는지 따져 묻는 역할이 CISO의 업무”라고 설명했다.

CIO가 CISO를 겸직하다 보니 전문성이 요구되는 CISO 역할을 제대로 하지 못한다는 지적도 있다. 금융감독원에 따르면 금융사 CIO, CISO 340명 중 47.6%가 정보보호나 IT 분야의 비전공자이고 관련 자격증 소지자도 13.5%에 불과했다. 금융당국은 자산 10조 원 이상, 임직원 1500명 이상인 금융사는 CIO와 CISO를 겸직할 수 없도록 관련법 개정을 추진 중이다.

○ CISO 권한 강화해야

CISO를 분리했더라도 제대로 권한을 주지 않거나 CIO가 있는 본부 밑에 속해 있어 사실상 견제가 불가능한 ‘무늬만 CISO’도 적지 않은 상황이다. 한 금융사의 CISO는 “보안을 강화하다 보면 사용자들의 불편이 커질 수 있다”며 “보안 이슈를 임원회의 시간에 이야기해도 ‘서비스부터 선보이고 보안은 나중에 하자’라는 인식이 적지 않다”라고 털어놨다.
▼ CIO-CISO 겸직 금지법 추진 ▼

또 ‘부사장 CIO, 상무 또는 이사 CISO’ 식으로 CISO의 직급이 CIO보다 한두 직급이 낮은 금융회사가 대부분이었다. CIO는 부행장급이 맡고 CISO는 부장급이 맡은 은행도 있었다. CISO의 직급이 CIO보다 높거나 대등한 곳은 국민은행, 삼성화재, 삼성카드, 하나SK카드뿐이었다.

김종현 국민은행 CISO는 “CISO가 독립된 부서가 아니고 CIO 밑에 있거나 직급 차이가 많이 나는 경우 ‘조직 논리’가 작용하기 때문에 제대로 된 목소리를 내기 어려울 것”이라고 설명했다.

이런 점 때문에 보안 전문가들은 “CISO를 최고경영자(CEO) 직속으로 두고 최소한 CIO와 대등한 직급의 임원으로 선임해야 제대로 정보보호를 할 수 있다”라고 조언했다.

신수정 기자 crystal@donga.com