3·20 전산망 마비 사태 뒤에는 대형 금융사의 법 규정에 어긋난 최고정보보호책임자(CISO) 제도의 허위 운용, 그리고 당국의 감독 태만 등 총체적 부실이 숨어 있다. 당국은 실태조사를 거쳐 내부 보고서까지 작성했지만 며칠 뒤 터진 사태를 막지 못했다.
21일 본지가 입수한 `대형 금융기관 CISO 지정 현황` 자료에 따르면, 금융감독원은 대형 금융사 68개사 모두 CISO를 지정 완료했고, 90% 이상 임원급으로 CISO를 선임했다고 정부에 보고했다. 보고서 작성 시점은 3월 8일로 이 사태가 터지기 12일 전이다.
보고서는 총자산 2조원 이상, 종업원 수 300인 이상 대형 금융기관을 대상으로 조사해 작성됐다. 조사대상인 18개 은행, 23개 증권사, 27개 보험사 모두 100% CISO를 지정했다고 보고했다. 또 전원 임원급으로 선임했다고 작성됐다.
그러나 100% 임원급 CISO 선임 보고는 엉터리인 것으로 판명됐다. 금융위원회와 금감원이 농협 전산망 해킹 사태 이후 금융기관에 지도한 CISO 독립 업무 부여와 임원급 지정 규정이 지켜지지 않았다.
증권 업계는 CISO에게 단독 업무를 맡기는 사례가 거의 없었다. 조사대상 23곳 중 22곳이 CISO는 뒀으나 다른 업무와 함께 중복업무를 맡겼다. 대형 은행과 보험사도 모두 중복업무를 맡기는 곳이 70%를 넘었다. 규정 따로 시행 따로인 셈이다.
당국 규정에는 임원급 CISO 선임과 예산 확충이 명문화됐다. 하지만 현장 CISO 직위 역시 규정과는 달리 주먹구구식으로 운영된다. 전산장애 피해를 본 농협은행과 농협중앙회는 특히 과거 뼈저린 해킹사태로 한바탕 곤욕을 치렀음에도 또다시 직원급으로 CISO를 운영했다. 농협중앙회는 아예 CISO를 부장급으로 운용하고, 그 위에 CIO를 두는 비상식적인 관리체제를 가동했다. 우리은행은 본점과 부산 영업본부장 출신을 CISO로 선임했고, 수협중앙회는 전산업무 1년 경력이 채 안되는 경영전략본부 부행장이 CISO를 겸임한다.
한 금융보안 고위 관계자는 “사고가 터지면 늑장 대응하고, 다시 조용해지면 원상태로 돌아가는 금융보안 시스템이 문제”라며 “CISO 제도 또한 금융당국이 아무런 협의 없이 밀어붙여 생긴 `쓸데없는 제도`라고 생각하는 금융사가 대다수”라고 질타했다.
표/대형 금융기관의 CISO 지정 현황
자료:금융감독원, *대형 금융기관:총자산 2조원 이상이고 종업원수 300인 이상
길재식기자 osolgil@etnews.com
