[금융보안 퍼스트 시대 (3) 끝] 보안 사령탑 CISO 위상 높이기가 KEY

[한국금융신문 정선은 기자] 금융의 디지털화로 보안의 중요성이 더욱 커지면서 정보보호최고책임자(CISO)의 위상 다지기에도 관심이 높아지고 있다.

금융보안원이 올해 4월 발표한 '국내외 CISO 제도 운영 동향 및 시사점' 리포트에 따르면, 국내 금융권에서 CISO의 위상과 역할은 보안이 사업의 보조수단이라는 인식 등으로 인해 여전히 미흡하다고 봤다.

한국의 경우 현재 전자금융거래법령과 정보통신망법령에 CISO 직위와 역할 등이 구체적으로 명시되고 의무 지정하도록 돼 있다. 법규정으로 큰 틀에서 제도적인 뒷받침이 상당히 선제적으로 이뤄진 것으로 평가된다.
금융 측면에서 전자금융거래법을 보면 금융회사 규모에 따라 CISO의 임원 지정과 겸직 금지를 차등적으로 적용한다.

구체적으로 자산이 2조원 이상이고 상시 종업원이 300명이 넘으면 CISO를 임원으로 지정하도록 돼 있다. 또 자산 10조원·상시 종업원 1000명 이상이면 CISO가 다른 정보기술 부문 업무를 겸직하면 안된다.

해외로 범위를 넓히면 미국 등 일부를 제외하고는 금융권에서 CISO 지정을 의무화 하지는 않는다. 유럽연합(EU)만 봐도 CISO가 아니라 데이터보호책임자(DPO) 지정을 규정하고 있다.

그러나 핵심은 업무수행 환경으로 꼽힌다. 리포트에서 금융보안원 정책연구팀은 "국내의 경우 CISO의 업무수행 환경에 대한 고려 없이 수행업무나 책임·의무만을 강조하고 있다"고 지적했다.

국내 금융권에서도 디지털 전환에 맞춰 CISO 위상이 제고될 필요성이 있다는 목소리가 나온다. 실제 금융보안원 주최로 올해 정보보호의 날(7월 10일)에 열린 금융회사 최고경영자(CEO) 초청 세미나에서 김홍선 SC제일은행 부행장(CISO)은 '디지털혁신과 CISO의 역할'로 주제강연에 나서 "조직 장악력"이 CISO의 최우선 조건이라고 꼽았다.
흔히 생각하듯 기술 지식을 먼저 말하기보다 CISO의 위상을 더욱 강조한 셈이다. 김홍선 부행장은 안랩의 CEO를 거쳐 2014년부터 글로벌 기업인 SC(스탠다드차타드)그룹의 프레임워크를 거울삼은 SC제일은행에서 사이버 리스크를 컨트롤하는 최고 보안책임을 맡아왔다.

금융보안원 정책연구팀은 "해외의 경우 사내 데이터 접근권한 보장, 인사상 불이익을 받지 않을 권리 등 CISO의 업무수행 환경 보장을 다수 명시했다"며 "국내도 CISO에 대해 이같은 보장과 원칙 등을 명문화 할 필요가 있다"고 제시했다.

정선은 기자 bravebambi@fntimes.com