[CIO BIZ+]은행권, 독립적 CISO 운영은 단 한곳…금융보안 강화 위한 CISO `유명무실`

지난 2011년 농협 해킹에 의한 전산망 마비 사태와 3·20 사이버테러 후 은행권 보안 강화를 위해 도입된 최고정보보호책임자(CISO) 의무화 제도가 유명무실한 것으로 나타났다. 대부분 은행들이 최고정보책임자(CIO)가 CISO를 겸직하고 있어 정보보호의 독립성에 문제가 있다는 지적이다. 금융위원회는 내년 하반기에나 CISO와 CIO 겸직을 금지하는 전자금융거래법 개정안을 국회 상정할 예정이어서 한동안 유명무실한 제도 운영은 지속될 전망이다.

25일 은행권에 따르면, 국민은행을 제외한 대부분 은행들은 CIO가 CISO를 겸직하거나 CIO 조직 아래 CISO 조직을 두고 있는 것으로 조사됐다. 개발 등 일반적인 정보화 영역과 정보보호 영역은 상충되는 부분이 많아 CIO와 CISO 조직을 분리, 독립적으로 유지하도록 하는 것이 세계적인 추세다.

◇대부분 은행 CIO가 CISO 겸직

은행권 중 CISO 조직을 CIO 조직과 분리해 별도 운영하고 임원급 CISO를 둔 은행은 국민은행 단 한 곳뿐이다. 국민은행은 기존에 CIO가 CISO를 겸직하던 체계에서 지난 8월 분리, 정보보호본부를 신설해 독립적인 CISO 제도를 도입했다. 현재 김종현 상무가 CISO를 맡고 있다.

우리·하나·기업·산업은행 등은 CIO가 CISO를 맡는다. 정보보호 부서도 대부분 IT본부 내 조직돼 있다. 단 하나은행은 IT본부가 아닌 행장 직속 조직으로 정보보호부를 신설, 운영 중이다. 그러나 임원급이 아닌 부장급이 조직을 이끌고 있다. 공식적인 CISO는 CIO가 겸직한다.

신한은행은 서춘석 IT개발본부장을 CISO로 선임, 직제를 운영하고 있지만 IT개발본부가 CIO조직인 업무개선그룹 아래 있다. 정보보호 조직도 IT개발본부 내 있어 독립성을 확보하는 데 한계가 있다는 지적이다.

농협은행은 중앙회 IT본부와 별도로 은행 내 백성현 전산정보실장을 CISO로 선임, 전결권을 부여했다. 농협은행의 CIO는 김승희 수석부행장이 맡고 있다. 그러나 1월 중앙회 소속 IT본부가 은행으로 편입될 예정이어서 CIO와 CISO와 조직 변화가 있을 것으로 보인다.

농협 한 관계자는 “IT본부가 은행 내 신설되고 관련 인력 소속이 은행으로 바뀌어도 정보보호 조직이 별도로 분리되지는 않을 것”이라며 “신설된 은행 IT본부 내에 정보보호 조직을 두게 될 것”이라고 말했다.

◇CISO와 CIO 겸직 허용이 문제

은행의 전임 임원급 CISO 제도가 정착되지 못한 이유는 무엇보다 의무화가 돼 있지 않기 때문이다. 총자산 2조원, 상시종업원수 300명 이상의 금융회사에 한해 임원급으로 CISO 제도 도입을 의무화하고 있지만, CIO 겸직은 허용하고 있다.

금융감독원은 3·20 사이버테러 후인 지난 7월 금융보안 종합대책을 발표하면서 대형 금융사 대상으로 CISO와 CIO 겸직을 금지하도록 했다. 그러나 CISO와 CIO 겸임 금지를 의무화하기 위해서는 전자금융거래법 개정이 필요하다. 금융위는 새해부터 CISO와 CIO 겸임 금지 기준을 마련, 하반기 이후에나 국회 상정할 예정이다. 자산 10조원 규모, 임직원 1500명 이상인 금융회사 대상이 기준으로 제시되고 있다.

전요섭 금융위 전자금융과장은 “CISO와 CIO 겸임 금지 한 건으로 법 개정을 추진하기는 어렵다”며 “법 개정 수요를 좀 더 모아 내년 하반기에 전자금융거래법 개정안을 국회 상정하도록 하겠다”고 말했다. CISO와 CIO 겸임 금지 기준에 대해서는 새해부터 논의를 시작, 입법예고 전에 공청회 등을 열어 의견을 수렴할 계획이다.

또 다른 이유는 금융회사들이 전임 임원급 CISO 선임에 대해 부정적이기 때문이다. 규모가 작은 정보보호 조직을 본부급으로 승격하고, 별도 임원을 두는 것이 조직운영에 쉽지 않다는 것이다. 정보보호에 대한 인식이 여전히 부족한 것도 하나의 원인이다. 기존 CIO가 수행하면 되지, 별도 CISO를 두는 것은 불필요한 절차라고 인식하는 경우가 많다.

금융보안 한 관계자는 “전임 임원급 CISO 지정을 법으로 의무화하고 그에 맞는 충분한 역할을 부여해야 한다”며 “무엇보다 기존 IT조직과의 별도 예산권과 인사권을 부여, 독립성을 강화하는 것이 시급하다”고 강조했다.


주요 은행 CISO 제도 운영 현황


자료:각 은행 종합

신혜권기자 hkshin@etnews.com