[디지털데일리 이민형기자] 최근 은행, 카드사가 정보보호최고책임자(CISO) 채용에 적극적인 모습을 보이고 있다. 지난해 7월 발표된 ‘금융전산 보안강화 종합대책’에 따라 CISO 선임이 의무화됐고, 일련의 보안사고로 인해 중요성이 부각됐기 때문이다.

25일 관련업계에 따르면, 현재 기존 최고정보책임자(CIO)가 CISO 직책을 겸직하고 있는 많은 금융회사들이 CISO 모시기에 나섰다.

현재 CISO를 선임한 곳은 국민은행, 신한은행, 농협은행, 대구은행, 비씨카드, 현대카드 등이며 나머지 금융회사들도 상반기 중 CISO를 영입할 계획이다. 최근 고객 개인정보 대량 유출사고를 겪은 카드3사의 경우도 새로운 인물 물색에 나선 상태다.

하지만 금융회사에서 임원급 정보보호책임자를 채용하기는 쉽지 않은 상황이다.

대개 CISO 자격요건에는 ▲IT·보안관련 전공자 ▲15~20년 이상의 IT경력(5년 이상의 보안경력) ▲CISSP, CISA 등 정보보호 관련 자격증 보유 ▲해당 분야 근무 경력 등을 명시하고 있다. 여기에 금융회사는 ‘나이 제한’이라는 요건도 함께 붙는다.

업계 관계자는 “금융회사의 경우 조직 평균연령이 높기 때문에 조직문화 측면에서 CISO의 나이를 무시할 수 없다”며 “연륜과 능력을 모두 갖춘 사람을 찾기가 쉽지 않을 것”이라고 전했다.

실제 많은 금융회사들은 ‘50세 이상’, ‘20년 이상 경력’ 등의 조건을 내걸고 CISO 채용을 진행하고 있다. 20년 이상의 경력과 관련 자격증이 많더라도 50세가 넘지 않으면 조건요건에 부합되지 않는다.

한 IT업체의 CISO는 “금융회사에서 근무하는 부장 이상 임원들의 평균연령이 50세가 넘어간다는 점 때문에 50세 이상의 조건을 내건 것 같다”며 “전통적인 조직문화를 우선시 하는 것보다 능력있는 CISO를 채용해 권한과 힘을 실어주는 것이 더 중요하다고 본다”고 전했다.

이와 관련 김승주 고려대 정보보호대학원 교수는 “나이 제한은 양날의 검이라고 생각된다”며 “긍정적인 영향으로 보면 금융회사들이 조직내에서 제대로 목소리를 낼 수 있는 보안담당임원을 뽑기 위한 장치일 수 있으나 반대로 새로운 기술이나 트렌드 등을 따라가지 못하는 부작용이 있을 수 있다”고 지적했다.

또 일부 금융회사들은 CISO 고용계약시 1년 계약을 요구해 논란이 되고 있다.

최근 헤드헌터로부터 채용 제안을 받은 IT업체 보안담당임원은 “금융회사들이 채용하는 CISO는 보안사고 발생시 이를 책임질 총알받이 역할이 될 것이다. 고용계약이 1년 단위로 이뤄지고 추가 채용에 대한 내용이 없다”며 “CISO 로 선임된다고 하더라도 보안예산 수립·집행의 권한이 얼만큼 주어질지는 미지수”라고 말했다.

한편 정무위원회는 이와는 별도로 내달 열리는 임시국회에서 CIO, CISO 겸직을 금지시키는 법안을 소위원회에 상정해 논의할 예정이다.

<이민형 기자>kiku@ddaily.co.kr