금융IT

CISO제도에 여전히 시큰둥한 금융권...의외로 복잡한 셈법

박기록 기자

[디지털데일리 박기록 기자] 금융권의 CISO(최고정보보호담당자) 영입 노력이 제대로 점화되지 않고 있는 분위기다.

 

앞서 약 한 달전인 지난 6월말, 금융감독원은 금융보안의 중요성을 감안해 금융IT보안 종합대책을 발표하면서 기존 CIO와는 별개로 CISO제도를 도입할 것을 사실상 의무하겠다고 밝힌 바 있다. 특정되지는 않았지만 CIO와 CISO 모두 임원급으로 금융권은 보고 있다. 

 

이 발표 당시만해도 은행권의 CISO로 영입되기 위한 IT업계 또는 학계의 명망있는 전문가들의 이름이 오르내렸다.

 

금융회사의 보안을 담당하는 CISO 자리가 내부 IT본부 직원에서 발탁시키기 보다는 외부 전문가의 영입이 정책의 효과를 높일 수 있다고 평가했기 때문이다.

 

하지만 금감원의 발표이후 급물살을 탈 줄 알았던 CISO 영입 노력은 시간이 지나서도 탄력이 붙지 않는 모습이다.

 

오히려 시중은행들은 CISO를 영입하기 위한 어떠한 노력(?)도 하지 않고 있다. 한 시중 은행 IT본부의 고위 관계자는 "CISO 가이드라인이 좀 더 구체적으로 나오면 그때부터 움직여도 늦지않다고 판단하고 있다"고 말했다. 

 

물론 직접적인 비교는 힘들지만 통상적으로 시중은행들이 금융정책 당국이 요구하는 규제대응 과제를 앞에 두고는 몇개월전부터 부랴 부랴 움직이는 것과 비교하면 사실상 CISO 도입에는 여전히 시큰둥하다는 것을 의미한다. 

 

왜 시중 은행들은 금융 감독당국의 엄포에도 쉽게 움직이지 않는 것일까.

 

CISO제도의 부정적인 시각에 대해 금융권및 금융 IT전문가들은 몇가지 해석을 내놓고 있다. 의외로 복잡한 이유들이 작용하고 있다.    

 

먼저, CISO제도 자체에 대한 의문이다. 여전히 금융권에서는 CIO가 CISO의 역할을 포함한다고 보고 있다. '위인설관'의 전형으로 보고 있는 것이다.

 

따라서 CISO제도를 도입하게되더라도 형식적인 역할이 그칠 것으로 보고 있다. 따라서 진지하게 전문가 영입에 나서기 보다는 말 그대로 '구색맞추기'용으로 외부인사를 CISO자리에 앉히는 모양새로 흐를 가능성이 크다는 것이다.

 

비록 '권고'수준이지만 금융감독원이 금융회사 경영실태 평가에서 금융보안을 중요한 평가항목으로 체크한다면 CISO제도는 금융회사들로서도 어쩔 수 없이 받아들여야하는 것은 분명하다.

 

하지만 이처럼 CISO가 사실상 강제되는 제도라도 은행의 입장에서는 기존 IT조직에 충격을 최소화시킬 수 있는 역할 설정을 하겠다는 의도라는 분석도 있다. 자칫 CISO 제도가 실효성 없는 제도로 흐를 가능성이 크다.

 

또한 기존 금융 IT조직의 역할론에 대한 새로운 위협으로써 CISO제도를 보는 시각도 존재하고 있다.

 

실제로 금융권에서는 차세대 프로젝트 등 중요 IT사업을 완료함으로써 당분간 IT사업이 없는 기존 IT본부로서는 보안이 새로운 자신들의 역할이다.

 

실제로 보안과 관련한 크고 작은 IT사업이 적지않게 일어나고 있는데 기존 IT조직으로선 CISO제도를 도입해 이 업무를 분리하는 것이 달가울리 없다는 분석이다. '조직 이기주의' 때문이라는 얘기인데 금융권 조직 정서상 어느정도 개연성은 있다고 볼 수 있다.

 

이와함께 CISO 제도가 MB정부에서 내놓은 '한시적 제도'에 불과할 것이고, 그 때문에 은행들이 중요하게 정책적과제로 인식하지 않고 있다는 분석도 제기되고 있다.

 

한편으론 CISO제도에 긍정적인 기류도 분명히 존재하고 있다. CIOS제도에 부정적인 것은 금융권 IT조직이 기득권적인 시각에서 여전히 크게 벗어나지 않을 것이라는 지적이다.

 

IT인프라의 확충, 새로운 모바일기기의 금융서비스 접목 등 보안이슈는 분명히 기존보다 크게 확대됐는데, CIO제도가 아니더라도 어떤식으로든 보안위협에 대한 대응 조직은 가져가야한다는 분석이다.


물론 금융권에서 CISO제도가 IT조직은 재편성해야할 정도로 어렵고, 실효성이 없다면 외부 감리를 통해 정기적으로 강도높은 보안검사 평가를 의무화는 등의 대안 마련도 필요하다는 지적도 제기되고 있다.

 

<박기록 기자>rock@ddaily.co.kr     

 

박기록 기자
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널