※본 기사는 디지털데일리의 금융IT 미디어 서비스인 디지털금융(www.fnit.co.kr)이 오는 3월 중순이후 발행할 예정인 ‘2016년 금융IT 혁신과 도전’(매거진) 내용중 일부를 미리 발췌한 것입니다.

[디지털데일리 박기록기자] 올해 4월 총선을 앞두고 있는 요즘, 정치권에선 이런 저런 사연을 가진 인재영입이 대단한 스포트라이트를 받는다. 인재영입에 성공하게되면 기존의 관성화된 조직에 생명력을 불어넣고 혁신을 촉진하는 긍정적인 효과를 거둔다.

정치권과 비교할 것은 아니지만 금융권에서도 몇년전 외부 IT전문가들의 영입은 몇가지측면에서 상당한 스포트라이트를 받았다.

하지만 지난 몇년간의 결과를 보면, 연임에 성공한 외부인사는 극히 예외일 뿐 대부분 임기를 채우는데 급급했다. 특히 은행처럼 IT조직이 거대한 곳에선 외부 영입 인사의 존재감이 어느 순간 사라져 버리고, 행동반경이 급격히 위축된 사례가 적지 않다.

◆떠나는 외부영입 CISO = 지난해 말 실시된 2016년 인사에서 KB국민은행은 신임 CISO로 은행 내부 출신인 안영엽 상무를 임명했다. 안 상무는 지점에 나갔다오긴 했으나 정보개발부장, IT서비스운영부장 등을 거친 IT전문가다. 2년전 한국IBM에서 CISO로 영입됐던 김종현 상무는 임기만료가 됨에 따라 예상대로 옷을 벗었다.

최근 농협은행도 올 2월말 임기만료 예정인 남승우 CISO 후임에 IT부서 출신의 내부 인사를 내정한 것으로 알려졌다.

이로써 현재 국내 은행권 CISO중 외부 영입인사는 SC(스탠더드채터드)은행의 김홍선 부행장만 남게됐다. (참고로, SC은행의 경우 외국계 은행들이 가지는 특유의 조직문화, 즉 조직간 협업과 역할의 경계가 분명하기때문에 일반 시중은행의 경우와 직접 비교하기는 무리가 있다.)

CISO 뿐만 아니라 외부 영입 CIO의 기조도 이제는 내부출신 인사로 대체되는 기류가 뚜렷하고, 나아가 CIO에는 비 IT출신 인사가 배정되는 경향도 다시 늘어나고 있다.

결과만 놓고 본다면, 은행권 CISO 외부 영입인사들의 성적표는 ‘보통’수준이다. 언뜻보면 임기를 다 채웠기때문에 낙제는 아니나 연임엔 성공못했으니 우수했다고 볼 수도 없다고 평가할 수 있다.

하지만 이같은 잣대는 당사자들에겐 좀 억울하고 서운할 수 있다.

일단 ‘연임’을 성공의 기준으로 설정하는 것 자체가 문제가 있고, 또 겉으로 나타난 지표만으로 성적표를 매기는 것은 최소한 공정하지 못하기 때문이다.

그리고 아직까지는 국내 금융권 IT조직 문화에서 외부 영입 CISO가 가진 태생적인 한계와 불리함도 고려해줘야한다.

시간을 거슬러 지난 2011년 4월, 농협의 중대한 전산사고 이후 금융 당국은 전자금융감독규정을 몇차례 개정한 뒤 파격적인 내용의 CISO 제도를 도입하기에 이른다.

금융 당국은 총자산 2조원 이상이면서 종업원수가 300명 이상인 금융회사, 전자금융업자는 임원급의 CISO를 도입하도록 했다. 즉, 임원급에 보안만 전담하는 CISO를 두고 금융회사가 편성하는 전체 IT예산중 7%이상, IT인력중 보안인력을 최소 5%이상 의무적으로 배정하도록 했다.

CISO가 전담하는 조직을 통해 금융 보안사고에 대한 체계적인 대응을 해보라는 취지였다. 금융 당국의 요구는 분명했고 정책적 의도는 좋았으며, 그 평가는 지금도 유효하다.

◆금융IT 조직 문화의 한계, 외부 IT전문가 영입기조 꺽여 = 하지만 이런 금융 당국의 의지가 무색하게 금융권에선 CIO가 CISO를 겸직하는 상황이 빈번하게 일어났고, 보안전담조직은 IT조직에서 파생된 후속 부서의 지위에 머루르는 경우가 많았다.

현실적으로 IT를 개발, 운영하는 막강한 CIO조직과 이를 보안위협 관점에서 사실상 감시해야하는 CISO의 조직이 금융회사 내부에서 적절한 균형점을 찾는 것은 거의 불가능에 가까웠다.

이 때문에 당시 금융권 IT기획부장등 책임자급 라인에선 “취지는 좋지만 금융 감독당국이 현실을 모른다”는 우려가 제기됐다.

우려는 현실이 됐다. 이후 CISO조직을 상당수 금융회사들은 형식적 운영으로 일관한 경우가 적지않았다. CISO 조직은 있으되 이렇다할 존재감은 없는 경우가 많았다.

이런 분위기에서 몇몇 대형 금융회사들이 외부 CISO의 영입을 서둘러 주목을 받았다. ‘내부 논리에 휘둘리지말고, 객관적으로 보안 수준을 높여달라’는 주문이었다.

하지만 외부 인사의 영입으로 진용을 갖춘 CISO조직은 결과적으로 기존 CIO중심으로 움직이는 거대 IT조직의 그림자를 극복하지 못했다는 게 대체적인 평가다.

그 이유에 대해서는 견해가 좀 다양하다. 하지만 근본적인 원인 두 가지를 꼽으라면 ‘금융IT 조직의 경직성’과 ‘여전히 미흡한 보안조직에 대한 인식 부족’을 꼽을 수 있다. 금융권 전반적으로 보안에 대한 인식은 크게 발전되지 않았다는 지적이 나온다.

이와관련 국내 대형 보험사의 CISO는 “외부 영입된 CISO의 경우든 아니면 내부 IT출신 인사가 CISO를 맡든 그것과는 관계없이 국내 금융권에선 보안전담 조직의 존재감이 대체적으로 부족한 게 사실”이라고 지적했다.

외부 영입, 내부 출신 가릴 것 없이 CISO 조직 자체가 제대로된 평가를 받지 못하고 있다는 것이다.

이 관계자는 “단지 이 과정에서 외부영입 CISO가 마치 실패한 것 처럼 보이지만 실제로 그가 할 수 있는게 별로 없다”고 말했다. 이어 “보안전담 조직을 이끌어갈 소프트웨어적인 노하우와 비전이 있었어야하는데 지금도 이것이 부족하다”고 꼬집었다.

이를테면 ▲보안전담 조직에 대한 적절한 성과평가 ▲CIO조직과 CISO조직의 역할 균형 재정립 ▲보안전담 인력에 대한 비전제시 등이 더 구체화되고 명확해져야 한다는 것이다.

“전산사고가 나지 않으면 그걸로 최선일 뿐 다른 방식으로 성과를 보여줄 게 없다. 반면 사고가 나면 모든 책임을 뒤집어쓴다”는 식의 인식은 예나 지금이나 금융권 보안 IT담당자들에게선 여전하다. 뒤집어 생각하면 이는 금융회사 IT조직 내에서 누구도 선뜻 보안을 맡지 않으려는 이유이기도 하다.

물론 아무도 맡지 않으려던 보안을 맡아 조직내에서 전도 유망한 보안전문가로 확실하게 존재감을 찾고 조직내에서도 승승장구하는 사례도 있다. 그러나 이는 역설적이게도 CIO와 CISO가 겸임을 하는 금융회사에서 일어난 일이다.

그렇다보니 CISO 조직 분위기 자체가 처음부터 수동적일 수 밖에 없다.

더구나 최근에는 핀테크가 강조되면서 공인인증서 등 기존의 보안 규정들이 규제로 인식되다보니 보안 조직이 스탠스를 취하기도 애매하게 됐다는 지적이 나온다.

◆조직장악력이 없으면 전문성도 무용지물 = 외부영입 CISO가 실패한 케이스에서 많이 지목되는 사항이 ‘조직장악력’이다. 한 은행의 CISO 연임 반대 이유중 하나는 “외부인사가 와서 보여준게 없다”였다고 한다.

하지만 외부 전문가에 능력을 보여줄만한 기회를 먼저 주었는지, 그리고 그에 앞서 외부 인사가 조직 장악력을 가질 수 있도록 금융회사에서 어떠한 노력을 했는지 먼저 반문해봐야한다. 조직장악력이 선행되지 않으면 개인의 전문성은 발휘될 수 없다.

금융권의 IT 담당자들은 “현실적으로 보면 CISO가 내부 IT출신 인사로 채워지는 게 더 효율적”이라고 말한다. 그 이유 역시 조직장악력이다. 기수 체계와 상명하복, 조직력에 의해 움직이는 IT부서 특유의 정서상 외부 영입인사에게 알아서 ‘조직장악력’을 가지라고 기대하는 것은 현실적으로 무리다.

역설적이지만 여전히 상당수 국내 금융회사들은 CIO가 CISO를 겸직하고 있다. 이 역시 따지고보면 조직장악력때문이다.

그들에게 CIO와 CISO의 겸직은 불합리한 조합이 아니고 오히려 합리적이다. 조직장악력과 조직효율성이 비례한다고 믿기때문이다.

실제로도 국내 금융권에서는 강력한 CIO의 권한에 힘입어 CISO의 영역까지 효율적으로 업무를 진행시키는 사례가 많다. 조직원들의 충성도를 이끌어내는데 CIO와 CISO 겸직 모델은 더 효율적일 수 있다.

하지만 CIO와 CISO의 겸직은 앞서 말한 것처럼 바람직한 조합은 아니고, CISO제도를 도입한 취지에도 맞지 않는다.

더구나 비대면채널과 인터넷전문은행의 도입, 핀테크에 대한 시대적 조류에 보안의 중요성이 기존과 비교할 수 없을 정도로 확대되고 있다. 여기에 생체인식과 같은 새로운 보안수단이 추가됨으로써 전문적인 지식을 가진 보안담당자의 역할이 기존보다 훨씬 더 정치해져야하는 상황이다.

이밖에 이상금융거래를 탐지해 리스크를 관리하고, 고도화된 보안 위협에 대응해야하는 것도 전부는 아니지만 핵심적인 CISO 역할의 하나다. 꼭 영입에 의한 방법이 아니더라도 외부 보안 IT전문가의 협업이 더 필요해지고 있다.

<박기록 기자>rock@ddaily.co.kr