[이준희변호사의 금융IT 속 법률 3회] 금융회사의 이상적인 정보보호 책임자 모델

2011년 이후 연이은 대형 금융사고들로 인해 금융회사의 IT부서의 가장 큰 화두는 정보보호였다. 해커에 의한 침해사고부터 사이버테러, 외주인력에 의한 고의 정보유출에 이르기까지 다양한 형태의 사고가 국민들을 불안하게 만들었다. 국민들의 비난이 빗발쳤고, 정부에서는 다양하고 강력한 대응방안을 도입하였다. 금융회사의 IT/정보보호 부서 입장에서는, 강화되는 여러 대책과 의무를 도입하고 실행하느라 눈코 뜰새 없이 바쁜 시간을 보냈다.

정보보호 강화 속 규제 중복 문제

정보보호 관련 법령은 여러 종류가 있으나, 금융권에서는 “신용정보의 이용 및 보호에 관한 법률”, “전자금융거래법”, “정보통신망의 이용촉진 및 정보보호에 관한 법률” 및 “개인정보보호법”을 통상 4대 정보보호 관련 법령이라 부른다. 앞의 두 가지는 금융위원회가, 뒤의 두 가지는 방송통신위원회 및 행정자치부가 각각 소관부처이다. 금융회사는 바로 이러한 정보보호 관련 법령이 중첩적으로 적용되는 곳이다.

각 법률들은 정보보호 또는 정보관리의 최고책임자 제도가 경쟁적으로 도입됐다. 2009년 신용정보법의 전면개정으로 도입된 신용정보관리보호인(CIAP), 2011년 개인정보보호법 시행으로 도입된 개인정보보호책임자(CPO), 2012년 전자금융거래법의 개정으로 도입된 정보보호최고책임자(CISO), 2001년 정보통신망법 전면개정시부터 존재하였던 개인정보관리책임자(PIMM)와 2013년 새로 도입된 정보보호최고책임자(CIPO)까지, 위 4대 법령에서 의무화한 책임자만 다섯 가지이다. 이에 더하여, 금융지주 산하 금융회사에 적용되는 금융지주회사법상 고객정보보호관리인(CCIO), 타법령에서 의무화되어 있는 준법감시인 및 감사까지 포함하면 고객정보보호와 직간접적으로 관련된 직책이 많게는 7-8개에 이르는 것이다.

정보보호 책임자 구성에 대한 고민

이와 같은 여러 법령의 중복규제와 관련하여 그 조직과 역할과 책임을 어떻게 구성하여야 할 지가 금융회사들의 가장 큰 고민거리 중 하나였다. 위 법령에서는 일부 직위의 겸직금지, 선임요건, 역할과 책임만을 규정하고 있을 뿐, 각 법령상의 상관관계 내지 조직체계에 대하여는 구체적인 내용안이 없었다. 그리고 위 각 책임자들의 역할과 책임은 개인정보 또는 신용정보의 관리적 통제부터 기술적인 대책의 시행과 감사에 이르기까지 다양한 기능을 포함하고 있어, 어느 하나 책임이 막중하지 않은 자리가 없다.

어떤 회사는 이러한 직책들을 한 명의 책임자에게 몰아주는 경우가 있다. 아마도 기존에 정보보호 업무를 담당하였고 회사 내에서 가장 잘 알고 있다는 이유 때문일 것이다. 그런데 그 책임자가 모든 직책상 업무를 모두 이해하기가 쉽지 않다. 그리고 그 역할에 따라 타 부서를 통제할 권한이 충분히 부여되지 않은 경우도 많다.

그리고 책임자에 따라 법적으로 집행임원급 이상의 자격이 요구되며, 또한 엄격한 실무적인 자격요건을 요구하는 경우도 있어, 이를 모두 충족할 수 있는 사람을 찾는 것 자체가 쉽지가 않다. 또한 이러한 권한과 책임의 집중은 조직 리스크 관리 측면에서도 그다지 바람직하지 않다.

또 어떤 회사는 이러한 직책들을 여러 부서의 책임자에게 골고루 나눠주는 경우도 있다. 기존에 해당 법률 또는 관련 정보의 이용과 관리를 담당하는 부서가 있으니 그 법률에서 요구하는 책임자도 그 부서의 장이 맡는 것이 좋다는 이유이다.

그러나 사고는 한 부서 내에서만 해결할 수 있는 일이 아니라 IT 시스템, 영업점 또는 현업, 위탁업체, 총무부서 등 여러 부서가 종합적으로 얽혀있는 상황에서 발생하는 경우가 많다. 이러한 경우 여러 부서에 책임자가 존재한다면 각 역할의 중복과 책임의 불명확성의 문제, 조직체계의 비효율성의 문제가 발생할 것이다.

또한, 외부 대응에도 문제가 발생할 수 있다. 금감원 검사 시에는 신용정보관리보호인과 CISO가 검사문책 대상이 되고, 경찰 수사에는 CPO나 PIMM이 불려가는 식이다. 자칫 회사 자체가 관리체계가 불명확하다는 책임을 뒤집어쓰고 비난의 대상이 될 우려도 있다. 뿐만 아니라 지위를 부여 받은 책임자가 그 지위에 따른 권한이나 책임을 정확하게 인식하지 못할 수도 있다.

이에 금융회사들은 여러 번의 시행착오를 거쳐 적절한 체계를 찾으려고 노력하고 있지만 아직까지 이상적인 모델은 찾지 못한 것 같다. 이상적인 모델은 현행 법규를 준수하면서, 향후 감독동향이나 법령개정도 고려하고, 역할과 책임이 명확하게 정의, 부여되며, 이에 걸 맞는 권한행사가 유기적으로 이루어져지고 금융회사의 가용인력, 조직문화와 체계 등 현실적인 측면까지 반영한된 것이다. 하지만 중복적인 규제체계 하에서는 답이 없다.

금융회사를 위한 가장 이상적인 정보보호책임자의 역할

가장 근본적인 문제는, 중복 규제 문제, 즉 소관 부처가 다른 여러 법령들이 정보보호와 규제강화 가 필요해 경쟁적으로 책임자 제도를 도입한 것 때문일지도 모른다. 정보보호의 중요성을 고려한다면 중복규제의 체계를 하루라도 빨리 해소하고, 효율적이면서도 역할과 책임 및 권한이 명확하게 설계된 제도가 필요하다. 2014년경부터 금융회사에 대하여는 관련법령을 정비하여 신용정보법이 최우선적인으로 단일규범으로 적용되도록 하는 입법적 논의가 있었으나, 아직 결실은 맺지 못하였다.

다만, 최근 입법예고된 신용정보법 개정안에서는 정보통신망법상 개인정보보호 관련 규정의 적용을 배제하는 긍정적인 변화가 있었으나, 개인정보관리책임자(PIMM)는 배제되되, 여전히 정보보호 최고책임자(CIPO)는 중복적용 되고 있어 아쉬움이 남는다. 하루라도 빨리 이와 같은 규제 체계가 개선되어, 정보보호책임자에게 명확한 역할과 책임, 그리고 이에 맞는 실질적인 권한이 부여되고, 그러한 시스템 하에서 금융소비자의 정보가 체계적, 종합적으로 관리되는 모습이 이루어져야 할 것이다.

금융회사의 입장에서도, 정보보호책임자가 단순히 경영진을 대신하여 정보보호에 관한 책임을 지는, 즉 사고가 나면 이를 수습하고, 제재를 받고 사표를 내는 존재가 되면 안 된다. 금융회사의 비즈니스의 핵심이 되는 고객의 금융거래정보를 관리하고 리스크를 통제하는 주관부서의 장으로서 관련된 프로세스의 통제와 관리에 관한 적절한 조직적인 권한과 역할을 부여하여야 한다. 정보보호책임자의 조직모델을 구성할 때는 조직구성과 역할조정의 책임은 최종적으로 대표이사, 즉 최고경영진에 있고, 궁극적인 책임은 최고경영진과 금융회사가 부담해야 한다.
나아가, 최근의 핀테크 등 변화하는 금융산업 환경 하에서는 정보보호 책임자가 IT기반 금융에 대한 통제와 견제의 역할만이 아니라 혁신의 핵심 가치에 불가결한 역할을 수행해야 한다. 특히 핀테크 기술의 핵심인 고객 편의성은 바로 정보보호 기반 인증수단과 같은 안전한 기술적인 통제장치를 전제로 하는 것이다. 그러므로 금융회사의 정보보호책임자는 보다 효율적이고 안정적인 조직의 기반 위에서 전자금융과 핀테크 비즈니스 창출과 금융혁신에 기여할 수 있는 역할과 책임이 주어져야 한다.

이준희 financeitlaw@gmail.com MSX컴퓨터로 BASIC을 배우고 PC를 조립해보던 청소년 시절을 보냈다. 10년 가까이 금융전문 변호사로 활동하다 2010년부터 김앤장법률사무소에서 전자금융과 금융정보보호, 핀테크 업무를 총괄하는 금융IT팀의 책임변호사로 활동하고 있다. 국내외 유수 금융회사 뿐만 아니라 다수의 IT/온라인서비스 회사와 혁신적 스타트업에 이르기까지 다양한 고객군에 대하여 법률자문과 컨설팅서비스를 제공하고 있다.