'정보보호최고책임자 겸직제한' 상당수 금융사 해당안돼
[컨슈머타임스 조선혜 기자] 소비자정보를 유출했던 금융사들도 정보보호최고책임자(CISO)를 별도로 두지 않아도 될 것으로 보인다.
금융당국의 금융사 CISO 기능 강화 방안에 대한 실효성 논란이 일고 있다.
16일 금융업계에 따르면 금융위원회는 금융사의 정보보호최고책임자를 다른 정보기술(IT) 업무에 겸직시킬 수 없도록 한 전자금융거래법 시행령 개정안을 최근 입법예고했다.
개정안은 겸직제한 의무를 따라야 할 금융사로 총자산 10조원 이상이고 상시 종업원 1000명 이상인 금융회사 등으로 한정했다.
그 동안은 IT 부서의 수장인 최고정보책임자(CIO)가 CISO를 겸임할 수 있었다.
겸직 제한은 소비자 정보보호의 필요성이 높아진 데 따른 것이다
문제는 이번 개정안대로라면 금융사의 상당수는 겸직 제한 조치를 이행하지 않아도 되는 예외 대상이라는 점이다.
지난해 9∼10월 기준 생명보험협회에 등록된 생보사 25곳 중 삼성·한화·교보 등 규모가 큰 6곳을 제외하면 19곳(76%)의 임직원 수가 1000명에 못 미친다. 주요 손해보험사 10곳 가운데는 4곳이 자산 10조원 조건에 맞지 않는다.
신용카드사는 업계 상위권인 신한·현대·삼성·KB국민 등을 제외하고 상대적으로 자산이 적은 나머지 절반에 해당하는 4개사는 전담 CISO를 두지 않아도 된다.
국내 약 60개 증권사의 80%가량도 임직원수 요건이 안 되는 것으로 집계됐다.
실제 작년 1월 정보유출 사태가 발생한 3곳 중 하나인 롯데카드, 홈플러스로부터 경품행사 등으로 소비자 개인정보를 불법 입수한 라이나생명도 원칙적으로는 겸직제한 의무가 적용되지 않는다. 이들 업체는 사건 대처 과정에서 CISO 전담 임원을 새로 임명했다.
겸직제한 규정이 사고를 막으려는 취지인 만큼 좀 더 많은 금융사에 적용돼야 한다는 지적이 나오고 있다.
중앙대 산업융합보안학과장인 김정덕 교수는 "정보보호 최고책임자인 CISO를 IT 수장인 CIO와 분리하는 것은 세계적인 추세"라며 "보안수준이 후진적인 국내 업계는 이런 기준을 따라가지 못하고 있다"고 말했다.
김 교수는 "임원급 CISO를 전담으로 두려면 조직도 바꿔야 하고 비용도 많이 들 수 있지만, 단순히 돈의 문제가 아니"라며 "내부 직원을 활용해 조직을 갖추는 방법도 있다"고 덧붙였다.
금융당국 관계자는 "조직체계와 인력이 뒷받침되지 않는 금융사까지 전담자를 두기는 힘들다는 금융업계의 의견을 반영해 기준을 마련했다"며 "처음부터 무리하게 기준을 두지 않고 나중에 좀 더 강화하는 방향으로 검토하겠다"고 설명했다.
