CISO는 ‘겸직용 감투’? 임명한 금융사 88%가 ‘독립 보직’ 기피

전자금융거래법 개정따라 임원급 선임 의무화
“비용-조직개편 부담”… 정부 해킹예방 취지 무색

한 시중은행의 정보통신본부장인 A 씨는 지난달 15일부터 바뀐 명함을 사용하고 있다. 이 은행의 최고정보보호책임자(CISO)를 겸직하게 됐기 때문이다. 보직을 하나 더 맡으면 관리해야 하는 조직이나 일이 늘기 마련이지만 전혀 변함이 없다.

그가 허울 좋은 보직을 하나 더 받게 된 건 개정된 전자금융거래법이 지난달 15일부터 시행된 때문이다. 이 법에 따르면 총자산 2조 원 이상이면서 종업원 수 300명 이상인 금융회사는 임원급 CISO를 선임해야 한다.

개정된 전자금융거래법에 따라 일정 규모 이상의 금융회사는 CISO를 의무적으로 둬야 하지만 대부분의 금융회사는 기존 임원이나 부서장에게 ‘감투’만 하나 더 주고 있는 것으로 나타났다. 동아일보 금융팀이 은행 보험 카드 증권 자산운용 저축은행 등 63개 금융회사를 대상으로 CISO 선임현황을 분석한 결과, CISO를 둔 61개사 중 54개사(88.5%)에서 기존 최고정보책임자(CIO) 등이 CISO를 겸직하는 것으로 나타났다.

이에 따라 CIO 조직과 별도로 CISO가 독립적인 정보보호 역할을 수행하도록 함으로써 보안을 강화한다는 전자금융거래법 개정의 취지가 무색해졌다는 지적까지 나오고 있다. 정부는 지난해 농협과 현대캐피탈 등에서 대형 해킹사고가 발생하자 전자금융거래법을 개정해 CISO를 두도록 했다.

겸직을 하고 있는 54개 회사의 CISO 중 24명은 CIO를 맡고 있는 것으로 나타났다. 국민 우리 하나 외환 대구 부산 경남 광주 제주 전북은행 등 대부분의 은행에서는 CIO가 CISO를 겸직하고 있다. 신한카드 KB국민카드 등 9개사에서는 정보기술(IT)본부장이 CISO를 겸직하고 있다. 일부 금융회사에서는 경영혁신실장, 펀드회계팀장, 인사총무팀장 등 정보보호업무와는 상관없는 직책을 맡은 직원이 CISO를 맡고 있는 것으로 조사됐다.

지난해 11월 개정된 전자금융거래법은 CISO를 ‘임원급’으로 선임하도록 규정해 놓았지만 산업은행 신한은행 등 18개 금융회사는 임원 바로 아래 직급인 본부장이나 부장 등의 간부에게 CISO직을 맡겼다.

그동안 금융권에서는 임원급 CISO 선임에 부담감을 표시해왔다. 비용이 늘어나고 조직개편이 뒤따라야 하기 때문이다. 금융당국은 지난달 금융권 CIO들을 소집해 임원급 CISO를 별도로 선임할 것을 권고했지만 별 소득이 없었던 셈이다. 수협과 정책금융공사는 지난달 법 시행에도 불구하고 아직 CISO를 선임하지 않고 있다.

한편 CISO를 겸직하지 않는 금융회사는 기업은행 NH농협은행 경남은행 현대카드 현대캐피탈 흥국생명 흥국화재 등 7개사였다. 농협은행은 지난달 15일 조직개편과 함께 인사를 실시해 은행장 직속으로 전산정보실을 설치하고 CISO에 백성현 전산정보실장을 선임했다.

기업은행도 지난달 15일자로 수석부행장 직속 기관인 정보보호센터를 신설하고 조용찬 IT금융개발부장을 센터장(본부장급)으로 발령했다. 정보보호센터는 정보보호운영팀과 정보보호기획팀 2개 팀에 인력은 30여 명으로 구성됐다. 현대카드 역시 보안업체인 안랩(옛 안철수연구소) 출신 전성학 전 시큐리티대응센터장을 CISO로 영입했다.

황진영 기자 buddy@donga.com　　　
유성열 기자 ryu@donga.com