금융회사 최고정보보호책임자(CISO) 선임을 의무화하는 법안이 마련됐지만 이를 불이행할 경우 제재조항이 없어 실효성 논란이 일고 있다.
1일 정부는 이명박 대통령 주재로 국무회의를 개최해 자산규모 2조원 이상, 종업원 수 300명 이상인 금융회사는 CISO 선임을 의무화하는 전자금융거래법 시행령 개정안을 심의·의결했다. 시행령에는 CISO 자격에 필요한 학력과 경력도 명시했다.
그러나 금융권에서는 정보보호 수준을 높이기 위해 도입한 CISO 선임 의무화가 제 역할을 못할 것이라는 지적이 제기되고 있다. 정보보호에 취약한 중소 금융회사가 대상에서 대거 제외됐다는 점이다. 개인정보 유출 우려가 높은 상당수 저축은행과 캐피털은 이번 적용 기준에 포함되지 않는다.
최고정보책임자(CIO)가 CISO를 겸직하도록 한 것도 문제다. 이미 대부분 금융회사는 CIO가 CISO를 겸직하고 있다. 그럼에도 불구하고 정보보호 사고는 끊이지 않는다. 정보보호 정책이 독립적으로 이뤄지지 않기 때문이다. 정보보호 투자가 우선순위에서 뒷전으로 밀리는 이유기도 하다.
CIO 조직 내 정보보호팀이 존재하다 보니 정보시스템 구축 및 운영 편의성이 우선시되고 정보보호 원칙이 지켜지지 않는 경우도 많다. 미국 등 선진 금융회사들은 CISO 조직을 CIO와 분리, 별도로 구성하고 있다.
CISO 선임 의무화 규정을 지키지 않았을 때 가해지는 처벌조항이 없다는 것도 문제다. 시행령에는 의무화만 명시했을 뿐, 이행하지 않았을 때 받는 제재 조항은 없다. 금융회사가 CISO를 무리하게 선임하지 않는 배경이다. 이종림 금융위원회 사무관은 “CIO가 CISO를 겸직하게 한 것은 현실을 반영한 것”이라며 “자격요건을 명시해 정보보호를 강화하도록 했다”고 말했다.
현재 CISO 선임 의무화 대상 금융회사는 70여개에 이른다. 은행과 카드사는 모두 해당되고 생명보험사는 20여곳이, 손해보험사와 증권사도 상당수 포함된다. 캐피털업계에서는 일부 대형 캐피털 업체가 해당된다. 이중 상당수 금융회사는 CIO가 CISO 자격을 갖추지 못했거나 CIO직제 자체를 도입하지 않고 있다. 대부분 금융회사는 CIO가 CISO를 겸직하게 하거나 다른 금융회사들이 진행하는 상황을 지켜보겠다는 방침이다.
임종인 고려대학교 정보보호대학원장은 “금융회사의 정보보안 수준을 평가 공시하도록 하는 제도를 도입해야 한다”면서 “금융회사도 정보보호를 투자로만 인식하지 않고 사회적 책임으로 받아들여야 한다”고 강조했다.
전자금융거래법 시행령에 따른 CISO 의무화 적용 금융기관
자료:전자공시시스템
신혜권기자 hkshin@etnews.com