[사설]금융사 CIO·CISO 분리 미리 준비해야

정부는 작년 4월 전자금융거래법 시행령을 마련해 총자산 2조원을 넘으면서 종업원 수 300명 이상인 금융사는 반드시 임원급 최고정보보호책임자(CISO)를 임명하게 했다. 2011년 현대캐피탈 해킹과 농협 전산마비 사태에 이어 하나SK카드·삼성카드 고객정보 유출사건이 줄줄이 이어진 게 직접적인 계기가 됐다.

하지만 대부분의 금융사가 최고정보책임자(CIO)와 CISO를 겸직하고 있어 CISO 의무화 제도가 유명무실하다. 올해 발생한 3·20 사이버테러 역시 금융사에 피해를 줬다. CISO 의무화 제도는 금융사 정보기술(IT) 인프라에 보안을 강화해 전자금융거래 안전성을 높이기 위한 조치였지만 형식에 불과했다. 금융위원회가 지난해 유권해석을 통해 CIO와 CISO 겸직을 허용하자 대부분의 금융사가 자리만 만들어 놓고 신경을 덜 쓰는 무늬만 CISO를 양산했다.

금융사 가운데는 국민은행만 정보보호본부를 신설해 CIO조직과 별도 운영하고 나머지 은행은 대부분 CIO가 CISO를 겸직하거나 CIO 조직 아래에 두고 운영 중이다. 일반적인 정보화 영역과 정보보호 영역은 상충하는 부분이 많아 국제적으로도 조직을 분리해서 운영하는 추세지만 국내에서는 예산 문제를 들어 겸직하는 예가 많다. 예나 지금이나 금융권은 전산이나 정보보호 담당 부서를 대표적인 한직으로 여긴다. 돈을 버는 영업이나 마케팅 분야와는 달리 정보보호·IT 분야를 비용 개념으로 접근하다보니 투자하기 쉽지 않다.

금융감독원이 지난 7월 금융보안 종합대책을 발표할 때 CISO와 CIO를 겸직하지 못하게 했지만 법적 근거가 없어 아직은 겸직이 가능하다. 정부는 전자금융거래법을 개정해 새해 하반기께 국회 상정한다고 한다. 정책 방향이 결정된 만큼 금융사도 CIO와 CISO 분리작업을 준비해야 한다. 무엇보다 금융사의 정보보호 인식 제고도 필요하다. CISO를 독립시켜 CIO와의 업무 중복을 조정하고 역할과 책임을 분명히 해 조직간 소모적 요소를 없애야 한다. CISO를 독립시켜 책임과 권한을 확실히 함으로써 3·20 사이버테러 같은 해킹피해를 최소화해야 한다.