금융사 80%가 겸직...정보보안활동 제한 지적
[뉴스핌=고종민 기자] 금융회사에서 최고정보책임자(CIO)와 정보보호최고책임자(CISO)의 겸직을 금지하는 법안이 오는 4월 국회에서 논의될 전망이다.
CIO는 회사가 보유한 '정보를 활용'해 사업전략을 구상하는 역할을 한다. 반면 CISO는 회사가 보유한 '정보의 보안'을 책임지고 관리하는 역할을 통해 CIO를 견제하는 입장이다.
하지만 약 80%의 금융회사들이 CIO와 CISO를 겸직하고 있어 투명한 정보보안 활동이 제한되고 있다는 지적이다.
국회 정무위원장인 김정훈 의원은 지난달 6일 일정규모 이상의 대형 금융회사 및 전자금융업자의 경우 최고정보책임자(CIO)와 정보보호최고책임자(CISO)의 겸직을 제한하는 것을 골자로하는 전자금융거래법 일부개정법률안(CIO·CISO 겸직 금지법)을 발의했다.
개정안은 금융사이버안전센터 설립·전자금융거래정보의 유출 등에 대한 형벌 상향조정에 대한 내용도 담았다.
◆여야 이견 적어 4월 논의 가능성 높아
정무위는 지난달 20일 김정훈 의원의 전자금융거래법 개정안을 소위에 회부하고 같은 달 세차례 걸쳐 소위 안건으로 올렸으나 개인정보보호법 등 다른 신용정보보호법 논의에 밀려 거의 언급조차 되지 못했다.
다만 금융위원회가 오는 2015년까지 코스콤 정보공유분석센터(ISAC)·금융결제원·금융보안연구원 등을 통합할 계획을 세우고 있는 점을 감안해, 김기식 민주당 의원이 지난달 25일 정무위 법안소위에서 유사한 기능을 가질 금융사이버안전센터의 설립 부분을 내달 논의하자고 제안했다.
당시 김 의원은 CISO 겸직제한과 형벌 강화 부분에 동의하면서도 금융위의 통합 계획이 확정되는 대로 처리하자는 입장이었다.
이에 CIO와 CISO 겸직 금지법은 금융사이버안전센터 설립 문제를 해결할 경우나 별도의 대안으로 처리를 한다면 4월 중 입법이 가능할 것으로 보인다.
◆ 정보보호최고책임자 독립성 강화로 정보보안 강화
전자금융거래법 시행령에서 자산 2조원 이상·임직원 300명 이상인 금융회사는 CISO를 반드시 두도록 규정하고 있다. 아울러 지난해 7월부터 시행된 정부의 '금융전산 보안강화 종합대책'에 따라 CISO 전임제가 실시됐다.
그럼에도 불구하고 2012년 5월 이후 선임된 국내 금융회사의 CIO 및 CISO 345명 중 78%에 달하는 269명이 겸직을 하고 있다.
성완종 새누리당 의원실에 따르면 금융권별로는 보험업계 겸직율이 86%로 가장 높았고, 증권 78%·은행 73%·카드 60% 순으로 조사됐다.
은행 중에서 하나은행, 씨티은행 등이 CIO와 CISO를 겸직하고 있었다. 농협은행, 산업은행, 수협은행, 한국수출입은행 등 대부분의 국책은행도 겸직 중이다.
증권사는 하나대투증권, 우리투자증권, 아이엠투자증권, 대우증권을 제외한 삼성증권, 현대증권 등 대부분 증권사의 CIO가 CISO를 겸임하고 있다.
또 대규모 개인정보 유출사고를 낸 KB국민카드, 롯데카드, NH농협카드 3개 회사도 CIO와 CISO 겸직체제를 유지해온 것으로 드러났다.
이에 상당수 금융사가 CIO와 CISO의 겸임 업무로 상충되는 상황에 이르렀다. IT보안보다 IT효율성이 우선돼, 전자금융거래의 안전성 약화가 우려되는 것.
정치권에선 명백히 정보보호 업무를 교란시키는 행위로 규정하고 있다.
정무위 관계자는 "경영목표를 위한 효율성을 중시하는 정보기술성과 소비자보호에 중점을 두는 정보보안은 서로 상반된 가치"라며 "CIO와 CISO의 겸직을 금지하려는 개정안의 취지는 타당한 것"이라고 평가했다.
[뉴스핌 Newspim] 고종민 기자 (kjm@newspim.com)