임원급 CISO 반드시 둬야
관련 통계자료 다운로드 CISO가 되려면 내달부터 대형 금융사는 임원급 정보보호최고책임자(CISO)를 반드시 둬야한다.
금융위원회는 4일 정보보호최고책임자(CISO)를 임원으로 임명해야 하는 금융회사의 범위와 CISO 자격요건을 규정한 `전자금융거래법 시행령`이 규제개혁위원회를 통과, 향후 국무회의 등을 거쳐 내달 15일부터 전격 시행된다고 밝혔다.
이번 법 개정에 따라 총자산이 2조원을 넘으면서, 종업원 수가 300명 이상인 각 금융회사는 CISO를 반드시 임원으로 둬야 한다. 금융위는 또 정보통신기반보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 감안 CISO 자격요건도 마련했다.
김진홍 금융위 전자금융팀 과장은 “CISO 임명을 통해 금융기관의 정보보호 분야에 대한 관심과 투자가 늘어날 것으로 예상된다”며 “이를 통해 전자금융거래의 안전성이 제고될 것”으로 기대했다.
◆뉴스의 눈
복기하자. 정확히 1년전 현대캐피탈 해킹과 농협 전산마비 사태, 이후 연이어 터진 하나SK카드와 삼성카드의 고객정보 유출사고는 결국 꿈쩍도 않던 금융 당국을 움직여 `전자금융감독규정`을 개정토록 했다. 이로써 국내 금융사의 IT인프라에 대한 보안이 대폭 강화되는 기폭제가 마련된 셈이다.
그 핵심에 있는 장치가 바로 `CISO 임명제`다. 금융권에서 보안을 담당하는 전산담당 부서는 대표적 한직이다. 따라서 보안 전담 책임자를 임원급으로 한다는 것은 IT담당 조직에 큰 힘을 보태줄 수 있는 매우 강력하고 실효적인 조치다.
특히 기존 최고정보책임자(CIO)를 동일 직급 선상에서 견제하고 감시할 수 있어, 자칫 한 쪽으로 쏠릴 수 있는 IT 관련 권한과 책임을 분산시키는 효과도 있다.
하지만 이같은 장점에도 불구, 일선 금융사들은 이번 CISO 의무 임명 조치에 난색을 표한다. 돈 때문이다.
한 금융권 관계자는 “CISO는 임원이다. 임원 한 명 두는데 한두푼으론 안된다”며 “영업이나 마케팅과는 달리, 보안·IT분야는 아직도 투자가 아닌 `비용` 개념으로 보는 게 금융권 현실”이라고 말했다.
이와 함께 기존 CIO와의 업무 중복이나 사고시 책임소재 불분명, 조직간 소모적 경쟁 우려 등은 여전히 CISO제의 정착을 어렵게 한다.
특히 최근 금융위가 유권해석을 통해 `CIO·CISO 겸직`을 허용하고 나서, CISO제의 유명무실화를 부채질하고 있다.
그렇다면 현실을 인정해야한다. 기왕 CIO가 CISO를 겸직해야 한다면, 금융위가 규정한 `CISO 자격요건`을 철저히 따져 묻는 등 실현 가능한 수준부터 실천하는 것이다. 아무리 취지가 좋아도 현실적으로 따르기 어려운 정책은 곧 무용지물이 된다. 지금은 첫걸음 떼는 게 중요한 시점이다.
류경동기자 ninano@etnews.com
