철통보안 전문가 모시고 조직 늘리기 한창

  • 동아일보
  • 입력 2015년 2월 11일 03시 00분


코멘트

[핀테크시대 정보보안]<3>금융권, 외부인력 영입 러시

지난해 초 정보유출 문제로 홍역을 치른 한국스탠다드차타드(SC)은행은 7월에 대표적인 국내 1세대 보안전문가인 김홍선 전 안랩 대표이사를 ‘정보보호의 파수꾼’이라 할 수 있는 정보보호최고책임자(CISO)로 선임했다. 직급도 기존 전무급에서 부행장급으로 높였다. 파격적인 인사에 금융권이 술렁였다. 얼마 지나지 않아 9월에는 삼성카드도 한국인터넷진흥원의 전신인 한국정보보호진흥원 해킹 대응팀장을 지낸 성재모 상무를 CISO로 영입했다.

지난해 KB국민·롯데·NH농협카드 등 3개사의 고객 정보 1억400만 건이 유출되는 등 사고가 잇따르면서 정보보호 관련 인력은 금융권에서 ‘귀한 몸’으로 떠올랐다. 금융사들이 여론의 뭇매를 맞으며 정보보안의 중요성을 실감한 뒤 외부 전문가 영입에 적극 나서고 있는 것이다. 보안 조직을 확대하는가 하면 신입직원 중 이공계 비중도 늘리고 있다.

○ 정보보안전문가 ‘귀한 몸’

현행 전자금융거래법에 따르면 총 자산 2조 원 이상, 종업원 수 300명 이상인 금융사는 일정한 자격요건을 갖춘 전문가를 CISO로 둬야 한다. 또 올해 4월부터는 CISO가 다른 직책을 겸직하지 못한다. 금융사들이 CISO 인력 확보에 분주해진 배경이다.

이미 많은 정보보안 전문가들이 금융권으로 터전을 옮겼다. 일찌감치 현대카드에 스카우트된 전성학 이사는 안랩 시큐리티 대응센터장 출신이다. 김종현 국민은행 상무는 한국IBM과 삼성SDS에서, 최동근 롯데카드 상무는 이니텍과 롯데정보통신에서 보안을 담당했다. 박승수 동양생명 이사도 동양네트웍스 출신이다.

금융권에서 풍부한 경험을 쌓은 최고정보책임자(CIO) 출신도 CISO로 각광받고 있다. 남승우 NH농협은행 부행장이 대표적이다. 남 부행장은 신한금융지주 IT기획팀장과 신한카드 CIO를 역임한 금융 정보기술(IT) 전문가다. 김준호 교보생명 전무와 조봉한 삼성화재 부사장도 10년 이상 CIO로 경력을 쌓았다.

전체적인 정보보안 인력도 확대하고 있다. 우리은행은 정보보안 분야 등에서 지난해 58명의 전문계약직원을 채용했다. 신한은행도 1월 기존의 정보보안실을 정보보안본부로 확대 개편하면서 11명의 전산·보안 관련 인력을 충원했다. 정보보안본부 인원이 57명에 이른다.

금융회사들은 신입직원 채용에 있어서도 이공계를 중용하고 있다. 국민은행은 가산점 부여를 통해 신입행원 가운데 이공계 전공자의 비중을 2013년 하반기 11.0%에서 2014년 하반기에는 16.6%로 늘렸다. IBK기업은행의 경우 매년 15% 안팎이던 이공계 신입행원 비중이 지난해 20% 정도로 증가했다. 하나은행도 이공계 비중이 2013년 10%에서 2014년 16%로 늘어났다. 한 시중은행 부행장은 “정보유출 사태 이후 개인정보 등 보안 문제가 중요한 부분으로 떠올랐다”며 “금융권의 보안인력 확대는 앞으로도 이어질 것”이라고 말했다.

○ “아직 갈 길이 멀다”는 지적도

그러나 일각에서는 금융권이 이름 있는 CISO를 영입하는 등 ‘보여주기’식 정보보안에만 치중하고 있으며 내실 다지기에는 아직 부족하다는 지적도 나온다. 실제로 금융회사별로 정보보안의 중요성에 대한 인식차도 큰 것으로 분석된다. 기업평가기관인 ‘CEO스코어’가 최근 금융지주 4곳, 시중은행 9곳, 생명보험·손해보험 각 9곳 등 국내 49개 주요 금융사의 CISO 현황을 조사한 결과 지난달 23일 현재 전담 임원을 선임하지 않은 금융회사가 16곳(32.7%)으로 집계됐다. 여전히 상당수 금융사에서 IT전략을 수립하는 CIO가 CISO 업무를 겸직하고 있는 것이다.

김인석 고려대 정보보호대학원 교수는 “정보유출 사고 1년 만에 금융권의 정보보안 강화노력이 시들해진 것 같다”라며 “실제로 보안 전문인력 확충이 활발하게 이뤄지지 않다 보니 우리 대학원에 학생들의 문의도 많이 줄었고, 신입생 모집도 어려워졌다”고 전했다.

CISO의 위상이나 지휘체계가 제대로 정립되지 않고 있다는 비판도 나온다. 염흥열 순천향대 정보보호학과 교수는 “보안을 강화하려면 CIO와 CISO의 업무가 완전히 분리돼야 하고 CISO의 사내 위상도 높아져야 한다”며 “더 나아가 CISO의 역할과 보안시스템의 작동에 대한 내부 모니터링 시스템도 갖춰져야 할 것”이라고 강조했다.

장윤정 기자 yunjung@donga.com
#핀테크#정보보안
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스