은행권, CSO 지정 필요성 급속 확산

Photo Image
시중은행을 중심으로 단독 CSO 지정에 대한 공감대가 확산하고 있다. 사진은 지난달 DDoS사태 발생 직 후 국민은행 DDoS 침해사고 대응반 모습.
관련 통계자료 다운로드 은행 IT근무인력 및 보안인력 현황

 금융권이 정보보호책임자(CSO)를 별도로 두는 방안에 대해 긍정적으로 검토하기 시작했다. 현대캐피탈 해킹과 농협 전산사고가 계기가 된 것으로 이런 추세가 타 산업에 어떤 영향을 미칠지 주목된다.

 27일 관련 금융권에 따르면 최근 잇따른 전산사고로 인해 은행권을 중심으로 내부 보안 총괄임원인 ‘CSO’가 필요하다는 인식이 폭넓게 확산되고 있다. 지난 2009년 금융감독당국 권고에도 불구하고 단독 CSO를 지정하지 않던 대부분의 금융사들이, 금융권 보안사고가 이어지자 이를 공감하기 시작했다. ‘보안을 위한 보안 발생’ ‘불필요 인력 확보 요구’ ‘보안 강화에 따른 업무 효율 저하’ 등을 내세우던 것과는 입장이 크게 달라졌다.

 당장 현대캐피탈이 최고정보책임자(CIO)가 CSO를 겸직했었으나 최근 별도의 CSO 지정을 결정한 상태다.

 시중은행 대부분도 CSO에 대한 인식이 크게 변화했다.

 한 시중은행 IT부문 관계자는 “실무와 개발 그리고 시스템 관리 조직간 역할 측면에서 애매한 부분이 있다. 일부 충돌이 발생한다”면서 “보안을 강화하면 할수록 이런 모습이 심각해질 수밖에 없다. 이를 조율할 수 있는 임원이 필요한 것은 사실”이라고 말했다. CSO 필요성에 상당한 공감을 표현한 기업은행 관계자도 “보안이란 창과 방패간의 싸움이다”며 “보안을 끊임없이 강화하기 위해서는 조직적인 차원에서 뒷받침이 필요하다”고 강조했다.

 금융사들의 이같은 움직임에는 금융감독당국의 입김도 작용하고 있다. 지난 26일 권혁세 금융감독원장은 명동 은행회관에서 열린 은행장들과의 간담회에서 “2009년 권고를 통해 CIO 이외에 CSO를 임명하도록 했으나 대부분의 은행들이 겸직하고 있는 것으로 안다”며 감독 강화 의사를 피력했다.

 이성헌 의원실은 CSO 임명이 임원 한명을 두는 것이 아니라 금융사 전체적으로 보안에 대한 인식 강화의 계기가 될 것을 기대하고 있다. 의원실 관계자는 “2009년 국정감사에서 금융사의 정보보안이 취약하다는 점을 지적했으나 2010년에도 예산과 인력이 약간 늘어나는데 그쳤다”면서 “금감원에서 강제할 수 없어서 법으로 할 수 있는 방법을 찾다가 인력과 예산을 관리하는 CSO를 정하도록 했다”고 설명했다. 이 의원실에 따르면 지난해 8월말 기준으로 은행 IT실의 정보보안 인력은 국민·산업·기업은행과 농협을 제외하고는 모두 10명 이하였다.

 현재 이성헌 의원(한나라당)은 오는 6월을 목표로 금융기관이 전자금융 및 IT부문 총괄 CIO를 지정하도록 하는 내용을 골자로 한 전자금융거래법 개정을 추진중에 있다

 김준배·박창규기자 joon@etnews.co.kr