기본분류

[취재수첩] 전자금융거래법 개정안 시행, 제 역할 할까

이민형 기자
[디지털데일리 이민형기자] 금융권에서는 오는 15일부터 시행되는 전자금융거래법 개정안 중 정보보호책임자(CISO) 운영과 관련해 최고정보책임자(CIO)가 해당 직책을 동시에 수행하는 것으로 가닥을 잡고 있다.

지난해 11월 14일 개정된 전자금융거래법 항목에는 정보보호최고책임자 지정이 새롭게 추가돼 있다. 전자금융거래법 제21조 2항을 살펴보면 ‘금융기관 또는 전자금융업자는 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 총괄해 책임질 정보보호최고책임자를 지정해야 한다’라고 명시하고 있다.

이 법령은 지난해 농협, 현대캐피탈 등 금융권이 대규모의 해킹사태를 겪으면서 금융감독원 등 금융당국이 적극적으로 추진한 것이다. 금융권 정보보호만을 책임질 ‘임원’을 새롭게 선출해 운영하라는 것이 법령의 의도라고 볼 수 있다.

이와 관련 금융위는 CISO의 자격요건에 대해서도 발표했다. 금융권에서 CISO직을 수행할 수 있는 사람은 정보보호 관련 학사를 취득하고 4년 이상 정보보호 분야에서 업무를 수행한 경력이 있어야한다. 정보보호 관련 학과를 졸업하지 않았더라도 8년 이상 정보보호 분야에서 업무를 수행한 사람도 자격을 갖게 된다.

이러한 자격은 현재 대부분의 기업들이 운영하고 있는 최고정보책임자(CIO)와 겹치게 된다. 이러한 이유 때문인지 대부분의 금융권과 전자금융업자들은 CIO에게 CISO역할을 함께 짊어지게 한다.

이와 관련 업계 관계자는 “유사한 업무를 수행하는 임원이 둘이나 운영할 필요도, 여력도 없다”고 전했다. 실제 당장 15일부터 개정 전자금융거래법이 시행되지만 CISO를 단독으로 운영하는 금융기관은 거의 없다. 씨티은행과 농협은 CIO와 CISO를 따로 운영하고 있으며 기업은행도 조만간 CISO 선출을 마무리 지을 예정이다.

이는 앞서 말한대로 전자금융거래법상 각 금융기관이 CISO를 선임하지 않아도 규제를 받지 않기 때문이다.

물론 CIO와 CISO를 겸직한다고 해서 보안사고가 일어날 것이라는 법은 없다. 겸직을 하더라도 CISO에 대한 업무를 수행해야한다는 것은 변함이 없기 때문이다. 그러나 당초 취지를 생각한다면 다소 무색한 개정안이 아닐 까 고민해본다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널