금융IT

금융 CISO, 강력한 IT보안체계 기대했지만 …‘용두사미’ 우려

박기록 기자

[디지털데일리 박기록기자] 금융권의 CISO(정보보호최고책임자)제도 도입 논의가 사실상 용두사미로 귀결되는 것 아니냐는 지적이 금융권 일각에서 제기되고 있다.

 

금융회사 IT보안체계에 대한 엄격한 관리와 냉정이 비판이 요구되는 CISO의 역할을 '외부 보안전문가'가 아닌 내부 IT조직 출신 인사가 맡게될 가능성이 높아졌기 때문이다.  

 

앞서 지난 18일 금융위원회는 '전자금융거래법' 시행령 개정안 입법예고를 통해 총자산 2조원 이상, 종업원수 300명 이상의 대형 금융회사들은 CISO를 두어야 한다고 공식발표한 바 있다.

 

특별한 변동이 없는한 국내 약 80여개의 대형 금융회사(5~6개 전자금융사업자 포함)들에 대해 내년 5월부터 이 규정은 적용된다.

 

그러나 금융위원회측이 이번 공개한 CISO의 자격 요건과 관련, '시행령에서 정한 자격요건만 갖춘다면 기존 금융회사의 CIO가 CISO를 겸직해도 무방하다'는 입장을 밝히면서 그동안 CISO제도 도입시 '외부 전문가'의 영입을 염두에 둬왔던 금융권의 입장에도 미묘한 변화가 일고 있는 것이다.

 

◆"CISO제도 도입 취지 퇴색" =  한 시중은행 IT기획팀 관계자는 "은행들의 경우, CISO를 CIO가 겸직할 수 있다면 일단 은행 내부에서 겸임가능성을 타진해보고, 그것이 여의치않으면 은행 내부에서 CISO의 연륜을 적임자를 찾으려 할 것이며 그래도 정없으면 외부에서 찾게 될 것"이라고 예상했다.

 

이 관계자는 "내부에서도 CISO자격 요건을 갖춘 사람들이 많기때문에 결국 IT조직이 큰 금융회사들은 가급적 내부 인사로 CISO를 가져가려 할 것"이라고 덧붙였다.

 

이러한 배경에는 금융권의 IT조직 축소 지향성과도 관련이 있다. 은행권의 경우, 애초부터 지난 수년간 기존 IT조직을 IT자회사 중심의 아웃소싱 방식으로 가급적 다운사이징하고 있는 상황에서 별도의 CISO와 조직을 두는 방안에 대해 내부적으로 부담스럽다는 정서가 강했다.

 

우리은행의 경우, 현재 사실상 IT운영및 개발 기능이 거의 우리에프아이에스(FIS)로 이관된 상황에서 별도로 임원급의 CISO를 별도로 임명하고 여기에 전담 조직을 만드는 것은 부자연스러운 선택일 수 있다. 


이번 개정안에서는 IT서비스 자회사가 사실상 IT전략을 총괄하고 있는 금융지주회사형 금융그룹이라고 하더라도 대상이 되는 계열 금융회사들은 각각 CISO (CIO 겸직 포함)를 지정해야 한다.   

 

한편으론 은행권에서는 CISO가 외부 전문가 중심으로 구성될 경우 기존 IT조직과의 융화 문제도 불거질 수 있다는 목소리가 없지 않았다.

 

앞서 금융위원회는 CISO도입과 병행해 기존 IT조직과 별도의 보안 조직을 구성이 의무화되는 것인지 여부에 대해서도 '금융회사가 자율적으로 선택할 문제'라고 밝혔다.


이에 따라 금융권에서는 결과적으로 금융회사들은 기존 IT조직내 보안팀을 중심으로 조직을 정비하겠지만 IT조직과는 별도로 'CISO를 위한 전담 지원조직'을 일부러 만드는 일은 없을 것이란 전망이 우세하다.

 

결국 기존 금융회사 IT지원부서와의 독립성, 제도의 강제성 측면에서 볼 때 이번 전자금융거래법 시행령에서 규정된 CISO제도는 지나치게 느슨하기때문에 실효성 논란 소지를 안고 있다는 지적이다.  

 

◆전문가 "외부 감리법인을 통한 보완대책 필요"= 당초 이번 CISO제도의 도입취지는 금융회사내 현업과 IT부서의 허술한 보안체계 감시및 투자에 대한 비판과 감시자로서의 역할을 다하도록 하기 위함이었다.


이를 통해 현대캐피탈 해킹, 농협 전산마비 사태와 같은 중대한 금융사고를 예방하겠다는 게 시행령 일부 개정안의 입법취지였다.


따라서 CISO도입 이후 추가적으로 제도를 보완할 수 있는 대책이 요구된다는 게 전문가들의 지적이다.  

 

이러한 지적은 금융권 내부에서도 어느 정도 공감하는 분위기다. 

 

한 시중은행 관계자는 "내부 인사로 CISO제도를 운영하게 될 경우, 감리법인 등을 통해 외부에서 보안인프라 운영 체계에 대한 감리를 받는 방안을 고려하고 있다"고 말했다. 물론 강제석 수단없이 금융회사 스스로 이같은 자발적 보안인프라 운영 고도화를 기대하는 것은 현실적으로 한계가 있다는 지적이다.

 

<박기록 기자>rock@ddialy.co.kr>   

박기록 기자
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널