윤관석 의원 대표발의한 전금법 개정안서
권한·책임 강화해 새로운 명칭 만들어
업계 "기존 CISO 지정 기업 혼선 유발"
과기정통부도 입법조사처에 우려 표명
최고정보보호책임자(CISO) 용어를 '금융보안책임자'로 변경하는 전자금융거래법 개정안이 업계 혼란을 야기하고 있다. 기존 CISO보다 새로운 금융보안책임자 권한과 책임 범위가 넓어져 CISO를 지정한 기존 기업이 혼선을 빚을 수 있기 때문이다. 최근 과학기술정보통신부는 기존 정보통신망법에 따른 CISO 지정과 혼선을 유발할 수 있다는 의견을 국회 입법조사처에 제시했다.
7일 업계에 따르면 윤관석 의원이 대표 발의한 전자금융거래법 일부법률개정안에서 기존 CISO 대신 '금융보안책임자' 명칭을 신설한 것을 놓고 일부 혼선을 빚고 있다.
전금법 개정안 제21조 3에서는 '금융회사 등은 전자금융거래 및 정보자산의 관리·운영 안전성과 신뢰성을 확보하는 업무를 총괄하는 금융보안책임자를 지정해야 한다'고 규정했다. 현재 전자금융업무와 정보기술부문 보안을 총괄해 책임지는 CISO를 '금융보안책임자'로 변경한 것이다.
개정안에서는 금융보안책임자 권한과 책임을 기존 CISO보다 상당 수준 강화했다.
금융회사 등은 총자산과 종업원 수 등을 고려해 금융보안책임자를 사내이사나 그 밖에 이에 준하는 자로서 대통령령으로 정하는 자로 지정해야 한다고 규정했다. 현행법에서 CISO를 임원으로 지정해야 한다고 규정했으나 개정안에서는 금융보안책임자의 권한을 이사회 사내이사 수준으로 강화한 것이다.
금융보안책임자가 기존 CISO 업무 외에 금융보안계획을 수립·시행하고 금융보안에 대한 이사회 결정을 지원하는 업무 등을 추가 수행하도록 규정(제21조 3)한 것도 새롭게 부여된 역할이다.
권한이 강화된 만큼 책임도 무거워졌다.
전금법 개정안에 따르면 대통령령으로 정하는 금융회사 등은 매년 금융보안계획을 수립하고 이를 금융위원회에 제출해야 한다(제21조 4). 금융위는 금융보안책임자가 점검한 결과를 제출받아 확인하고 결과를 점수나 등급으로 표시할 수 있다. 이 결과는 금융감독원이 검사에 활용할 수 있게 된다. 이는 금융회사가 전사 관점에서 금융보안을 강화하도록 민간 거버넌스를 강화하겠다는 금융위 의지가 반영된 것이다.
금융위는 지난해 7월 발표한 디지털금융 종합혁신방안에서 CISO 권한을 현업부서의 이상거래탐지시스템(FDS)과 IT 업무 등에도 관여해 전사 리스크를 점검할 수 있도록 확대한다고 발표했다. 주요 금융보안 사항 이사회 보고 등을 의무화해 이사회와 최고경영책임자(CEO)의 금융보안 관련 책임을 확립하는 등 전사 관점의 보안관제로 민간 거버넌스 강화를 꾀했다.
반면에 업계에서는 기존 CISO보다 금융보안책임자 권한과 책임이 더 강화된 만큼 새로운 명칭을 만들어 부여하면 기업에 혼선을 일으킬 수 있다고 보고 있다. 현행 CISO는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(제45조의 3)에서 규정하고 있는데 전금법 개정안에서 기존 CISO 역할을 넘어선 새로운 금융보안책임자를 도입했기 때문이다.
금융보안책임자 명칭 도입을 놓고 과학기술정보통신부는 기존 CISO 명칭과 혼선이 우려된다는 의견을 국회 입법조사처에 전달했다. 이에 대해 금융위는 “전금법 개정안 적용 대상인 금융사와 핀테크 등 금융기업만 '금융보안책임자'로 명칭을 바꾸는 것”이라며 “구체 적용대상 기업 규모 등은 추후 시행령에서 구체화할 예정”이라고 설명했다.
배옥진기자 withok@etnews.com