[디지털데일리 박기록기자] 금융위원회가 금융권의 CISO(정보보호최고책임자) 제도 도입을 위한 '전자금융거래법' 시행령 개정안 입법예고를 18일 공식 게재한 가운데, '기존 금융회사의 CIO가 CISO를 겸직해도 무방하다'는 입장을 나타내 주목된다.

다만 금융위 은행과 관계자는“CIO가 CISO를 겸직하려면 이번 시행령 개정안에서 요구한 CISO자격 요건을 갖춰야 한다”는 단서를 달았다.

앞서 금융위는 이번 개정안에서 CISO의 자격요건으로 ‘(전공 유관) 학사학위+2년 이상의 정보보호 경력 또는 3년 이상 정보기술 경력’이거나 ‘(전공 무관) 학사학위 + 4년 이상의 정보보호경력 또는 5년 이상 정보기술 경력 보유’로 정한 바 있다.

그동안 금융권에서는 IT기획및 운영을 총괄하는 CIO(정보화최고책임자)역할과는 별개로 보안만을 전담하기 위한 CISO, 즉 임원급 보안전문가는 외부에서 충원할 수 밖에 없을 것이란 관측이 지배적이었다.

하지만 이번 금융위가 자격요건으로 제시한 CISO의 요건은 기존 금융회사 IT부서에 5년이상 근무한 직원이라면 대부분 충족했다고 볼 수 있다.

따라서 기존 금융회사 CIO라면 CISO 역할까지도 겸직할 가능성이 매우 높을 것으로 예상된다.

이와함께 금융위측은 CISO제도를 적용받는 금융회사가 기존 IT부서와는 별도로 CISO 지원 조직을 반드시 두는 것을 강제하지는 않는다는 입장도 밝혔다.

즉, CISO제도를 도입했다고해서 별도의 반드시 보안 IT조직을 두는 것은 아니라는 해석이다.

이와관련 금융위 관계자는 "이번 전자금융거래법 개정안 시행령에서 'CISO제도 도입에 따른 별도의 조직을 운영해야한다'고 따로 명시하지 않았기 때문"이라고 설명했다.

그동안 금융권에서는 CISO제도를 도입할 경우, 기존의 IT조직외에 별도의 보안전담 조직을 꾸려야할 것으로 예상해왔다.

결국 금융위의 해석에 따르면, 총자산 2조원 이상, 종업원수 300명 이상으로 CISO를 둬야하는 금융회사는 기존 CIO로도 CISO역할까지 겸직시킬 수 있으며, 또한 기존 IT조직의 보안인력으로도 시행령에서 규정한 보안업무를 수행해도 문제될 것이 없다.

한편 금융위측은 이번 전자금융거랩 시행령 개정안에 따라 CISO를 도입하는 금융회사및 전자금융사업자는 약 80여개사라고 밝혔다.  

<박기록 기자>rock@ddaily.co.kr