[디지털데일리 박기록기자] 'CSO'(보안담당 최고책임자)도입을 놓고 금융권의 고민이 다시 깊어지고 있다.

지난 4월 현대캐피탈, 농협 전산마비 사태를 계기로 금융감독원은 최근까지 국내 40개 금융사의 보안실태를 점검을 마친 상태다.

이 실태 점검 내용을 바탕으로 금융감독원은 보다 강화된 새로운 금융보안 가이드라인을 제시할 것으로 예상되고 있는데, 특히 이 가이드라인에 'CSO 도입'이 포함될 가능성이 높아 금융권이 촉각을 곤두세우고 있다.

또한 시기적으로도 오는 9월부터 개인정보보호법이 폭넓게 시행됨에 따라 금융 당국은 기존보다 강화된 수준의 보안체계를 요구할 것이란 게 금융권의 대체적인 시각이다.

물론 금융 당국이 가이드라인을 통해 일반 금융회사에 대해 CSO제 도입을 명문화시키고 이를 강제할 가능성은 높지 않다.

하지만 금융회사 경영실태 평가에 CSO제의 도입여부를 중요 평가항목으로 반영시킬 경우 CSO제는 사실상 강제되는 효과를 갖을 것으로 전문가들은 보고 있다.

앞서 금융권에서는 농협이 지난 4월말 전산마비 사태를 수습하는 차원에서 오는 2015년까지 5000억원의 보안투자 계획과 함께 자발적으로 CSO를 도입하겠다고 밝힌 바 있다. 

◆“누가 OO은행 CSO로 간다더라”...벌써 하마평 = 금융 IT업계 일각에선 ‘특정 은행이 CSO를 영입하기 위해 외부 인사를 알아보고 있다’는 류의 소문이 최근 조금씩 나오고 있다.

물론 은행을 비롯한 주요 금융회사들의 CSO로 정부 또는 정치권 출신의 낙하산 인사가 올지 모른다는 우려도 있지만 금융IT업계 전문가들은 그럴 가능성은 상대적으로 낮게 보고 있다.
CSO가 워낙 전문적인 지식과 경험을 필요로하는 자리이기 때문에 금융권 노조의 반발을 무릎쓰면서까지 무리하게 실행에 옮길 가능성이 적다는 것이다. 

◆“CSO도입, 아직은 무리” ... 금융권, 불편한 기색 = CSO 도입에 대해 금융권은 여전히 탐탁지 않은 반응이 많다.

CSO를 반대하는 이유는 크게 두 가지다.

먼저 기존 CIO(최고IT책임자)가 충분히 CSO의 역할을 병행할 수 있다고 보고 있다. ‘CIO의 역할 확대 방안’이다. 지금도 IT본부내에 보안팀을 지휘하고 있기때문에 CIO의 재량권을 넓혀준다면 CSO를 따로 도입할 이유가 없어진다는 것이다. 

또 하나는 CSO도입이 일반 금융회사의 조직 구성을 고려했을때 현실성이 크게 떨어진다는 것이다.

IT직원수 300명~400명 규모로 IT조직의 규모가 큰 은행권에서는 CSO 조직을 별두로 두는 것이 가능할지는 몰라도 국내 금융회사 대부분은 IT조직 규모가 100명 이내의 소규모 여서 조직을 따로 운영할 경우 조직구성이 쉽지도 않고 경제성이 크게 떨어진다는 분석이다.

시중 은행의 한 관계자는 “일반 시중은행은 모르겠지만 IT인력이 적은 지방은행을 포함해 증권, 보험 등 2금융권에서 크게 고민할 수 밖에 없는 문제”라고 지적했다.

또한 IT기획 기능을 제외하고 전산시스템의 운영및 유지 보수를 외부업체에 맡기는 IT아웃소싱 체제로 전환한 금융회사들도 CSO를 따로 도입하기가 현실적으로 쉽지 않다는 지적이다.

물론 보안 부문도 IT아웃소싱 방식으로 전환할 수 있겠으나 지금까지 금융 당국은 금융회사의 IT아웃소싱에는 상당히 강도 높은 규제를 고수해왔다는 점을 고려하면 이 또한 쉽지 않은 선택이다.

<박기록 기자>rock@ddaily.co.kr