금융권 정보보호책임자(CISO)는 속된 말로 '총알받이'라고 불린다.
해킹 등 대형 금융사고가 터지면 수장 대신 책임을 대신하는 자리라는 의미다. 그 동안 CISO가 조직 내에서 어떤 위치였는지를 알려주는 말이다.
최근 핀테크 산업이 활성화되자 이에 따른 보안 우려도 급증하고 있다. 새로운 기술이 출현하면 반대급부로 항상 새로운 보안 위협이 수반된다. 최근 새로운 산업 출현에 생각지도 못한 보안 사고가 연이어 터지고 있다. 암호화폐거래소 등이 대표적이다.
정부도 핀테크 기반 보안 종합대책 마련에 착수했다. CISO 권한을 강화할 것이라는 이야기가 들린다. 지극히 마땅하다.
그간 CISO는 권한은 없고 책임만 지는 자리로 인식돼 왔다. 중소형 기업은 겸직을 하는 사례가 다반사다. 핀테크 생태계 환경에서는 더욱 그렇다.
정부가 보안대책을 수립할 때 역점을 두어야 할 우선 과제는 CISO의 독립성과 권한 강화다.
주요 보안 투자를 진두지휘할 막강한 권한을 주고, 최고경영자 의사결정 과정에도 참여시켜야 한다. 종속적인 CISO 자리는 의미가 없다.
사석에서 만난 시중은행 CISO는 “CISO가 아무리 일을 잘해도 보안 사고 한 번 나면 가장 먼저 사라지는 자리”라면서 “때문에 혁신적인 대책 수립보다는 경영자 눈치만 보는 사례가 다반사”라고 분위기를 전했다.
정부 금융 대책을 강제해서라도 독립적인 CISO 역할을 부여하고, 이들이 자유롭게 보안 투자와 대책을 수립할 수 있도록 판을 깔아줘야 한다. 그렇지 않고서는 더 정교화해지는 보안 사고를 미연에 방지할 수 있는 방법이 없다.
2013년 정부는 금융전산 보안 강화 종합대책을 발표한 바 있다. 3·20 전산 사태 이후 금융전산 망 분리와 CISO 역할 강화, 금융권 공동 백업전용센터 구축 등을 대안으로 제시했지만 상당수 내용이 지켜지지 않거나 디지털 금융을 반영하지 못한 내용이 많았다. CISO 운영 방안도 마찬가지다. 4차 산업혁명 시대, 특히 금융 생태계에서 보안은 절대적이다. 그 행동대장이 돼야 할 CISO에게 정부는 이제라도 제 역할을 주고, 그들의 이야기를 귀담아 들어야 한다.
길재식 금융산업 전문기자 osolgil@etnews.com