금융당국이 오는 4월 16일부터 시행하는 정보보호최고책임자(CISO) 겸직 제한 규정을 대폭 완화해 상당수 금융사는 겸직이 허용될 전망이다. 금융사 보안 현실을 반영한 결과지만 보안 강화에 역점을 둔 CISO 강화 제도가 자칫 규모가 큰 대형 금융사 이중규제로만 작용하는 것 아니냐는 일부 지적이 제기됐다.
23일 금융권에 따르면 금융위원회는 최근 CISO 겸직 제한의 내용을 담고 있는 ‘전자금융거래법 시행령 일부개정안’을 입법 예고했다.
개정안에 따르면 CISO 겸직 제한 금융사는 ‘총자산 10조원 이상, 상시 종업원 수 1000명 이상’인 금융사로 최종 확정됐다. 금융위원회는 지난 12일까지 최종 적용 규정을 확정하지 못했다. 시장에서 금융권 CISO 수요가 제한적인 상황에서 요건에 맞는 임원급 CISO를 구하는데 애로가 많다는 민원이 제기됐기 때문이다.
결국 금융당국은 시장 수요를 맞추기 힘들다는 금융사 의견을 수렴해 상당 부분 완화된 겸직금지 절충안을 내놨다.
문제는 이 같은 규정을 적용할 경우 상당수 중소형 금융사는 CIO와 겸직해도 별도 제재를 받지 않게 된다. 대형 은행을 제외한 카드, 증권, 보험사는 대부분 겸직이 허용된다.
본지가 업권별 금융사 대상으로 자산규모와 종업원 수를 조사한 결과 자산 10조원·종업원 1000명 이상인 금융사는 은행의 경우 18개사 중 16개사가 해당된다. 하지만 카드사는 8개사 중 절반인 4개사, 보험은 42개사 중 13개사, 증권은 49개사 중 9개사만 포함된다. 은행을 제외한 나머지 금융사는 대부분 CISO 겸직 규정이 적용되지 않는다.
금융위원회 관계자는 “CISO 제도 자체가 도입 된지 얼마 안됐고 금융사의 현실적인 부분을 반영했다”며 “앞으로 시장 상황을 지켜보며 강화하는 방안을 단계적으로 적용할 것”이라고 말했다.
이 같은 예외규정 적용에 대해 금융사도 일단 한 고비는 넘겼다는 분위기다. 실제 임원급 CISO와 전담조직을 두는 방안에 대해 상당수 금융사는 준비조차 되지 않은 상황이다.
한 증권사 고위 관계자는 “외국 사례를 보더라도 규제를 단계적으로 시행하는 것이 맞다”며 “현실적으로 불가능한 부분을 입법화해 적용하기 보다는 단계별 가이드라인이 있어야 한다”고 말했다.
하지만 대형 금융사를 비롯해 보안업계는 이 같은 CISO 규정에 대해 ‘실효성 없는 대안’이라고 비판했다. 정보보호 강화에 금융사 규모 등을 분류해 적용하는 것은 초기 입법 취지에 정면 위배된다는 것이다.
우선 금융당국은 CISO 제도가 현실적으로 적용되는 것이 우선이라며 단계별 규정 강화를 꾀하겠다는 입장이다. CISO 전임제도와 탄력적 운용제도를 꾀하되 정보보호를 강화할 수 있는 다양한 징벌제 도입과 책임 소재를 명확히 따져 금융사 스스로 정보보호에 책임감을 가질 수 있도록 한다는 계획이다.
[표] 현행 CISO 겸직 제한 적용 현황
(자료-각사 취합)
* 자산 10조, 종업원 1000명 이상 기준
길재식기자 osolgil@etnews.com
