지난달 이성헌 한나라당 의원 등 12명의 국회의원이 금융기관의 정보보호최고책임자(CSO) 지정을 의무화하는 전자금융거래법 일부개정법률안을 발의했다. 이 법안이 6월 국회에서 처리되면 늦어도 내년 초에는 전 금융권이 CSO직제를 의무적으로 도입해야 한다.
이 의원은 전 금융기관의 보안 투자 수준이 매우 미미해 법 개정을 통해 의무적으로 보안 예산과 인력을 확보하도록 해야 한다고 법안 발의의 배경을 밝혔다.
금융감독원 역시 7·7 분산서비스거부(DDoS) 공격 대란 이후부터 꾸준히 최고정보책임자(CIO)와 CSO의 분리를 권고해왔다. 최근 터진 현대캐피탈의 고객정보 유출 사례는 정부와 금융당국의 이런 움직임에 더욱 힘을 싣는다.
그런데 현재 대부분 금융권에서는 CIO나 전산부장이 CSO를 겸임하고 있는 경우가 많다. 이성헌 의원실 관계자는 “다른 임원이 CSO를 겸임하게 되면 업무 효율성이 떨어지고 보안 투자가 제대로 이뤄지지 않기 때문에 이를 바로잡고자 하는 게 개정안의 취지”라고 설명했다. 세부 시행령은 법안이 통과돼야 마련되지만 개정안에는 임원급으로 전담 CSO를 선임하라는 뜻을 담겨 있다고 이 관계자는 덧붙였다.
이에 대해 금융권 IT관계자는 법안의 취지는 이해하지만 과연 실효성이 있을지 의문이라고 말한다. 우선 CSO와 CIO의 역할이 상당 부분 중복된다는 설명이다. 보안은 IT와 상당한 연관이 있는데 CSO가 정책의 수립과 실행, 예산확보까지 오너십을 가지려면 필연적으로 CIO와 역할 충돌이 일어날 수밖에 없다는 얘기다.
또 CSO가 영업, 리스크, IT담당 임원에 의존하지 않고 독자적으로 업무를 처리하기는 어려우며 다른 임원과 비교해 매우 국한된 역할만 하게 돼 결국 조직 효율의 문제가 생길 것이라는 지적도 나온다.
한 금융권 관계자는 “CSO 분리 운영으로 인해 오히려 기존보다 정보보호 업무가 제대로 수행되기 힘들 가능성도 크다”며 “실효성은 적고 금융기관에 예산과 인력에 대한 부담감만 안기지 않을까 우려된다”고 말했다. 그는 인력이 적은 금융기관의 경우엔 전담 CSO 운영에 상당한 부담을 가지고 있다고 설명했다.
보안을 강화해 소비자를 보호하자는 정부의 의지와 실효성을 생각해 달라는 금융권의 의견에는 모두 공감이 간다. 충분한 협의를 통해 명분과 실리를 함께 얻을 수 있는 해법을 마련하기를 기대한다.
안호천기자 hcan@etnews.co.kr
