전자금융거래법 개정따라 임원급 선임 의무화“비용-조직개편 부담”… 정부 해킹예방 취지 무색
그가 허울 좋은 보직을 하나 더 받게 된 건 개정된 전자금융거래법이 지난달 15일부터 시행된 때문이다. 이 법에 따르면 총자산 2조 원 이상이면서 종업원 수 300명 이상인 금융회사는 임원급 CISO를 선임해야 한다.
개정된 전자금융거래법에 따라 일정 규모 이상의 금융회사는 CISO를 의무적으로 둬야 하지만 대부분의 금융회사는 기존 임원이나 부서장에게 ‘감투’만 하나 더 주고 있는 것으로 나타났다. 동아일보 금융팀이 은행 보험 카드 증권 자산운용 저축은행 등 63개 금융회사를 대상으로 CISO 선임현황을 분석한 결과, CISO를 둔 61개사 중 54개사(88.5%)에서 기존 최고정보책임자(CIO) 등이 CISO를 겸직하는 것으로 나타났다.
겸직을 하고 있는 54개 회사의 CISO 중 24명은 CIO를 맡고 있는 것으로 나타났다. 국민 우리 하나 외환 대구 부산 경남 광주 제주 전북은행 등 대부분의 은행에서는 CIO가 CISO를 겸직하고 있다. 신한카드 KB국민카드 등 9개사에서는 정보기술(IT)본부장이 CISO를 겸직하고 있다. 일부 금융회사에서는 경영혁신실장, 펀드회계팀장, 인사총무팀장 등 정보보호업무와는 상관없는 직책을 맡은 직원이 CISO를 맡고 있는 것으로 조사됐다.
지난해 11월 개정된 전자금융거래법은 CISO를 ‘임원급’으로 선임하도록 규정해 놓았지만 산업은행 신한은행 등 18개 금융회사는 임원 바로 아래 직급인 본부장이나 부장 등의 간부에게 CISO직을 맡겼다.
그동안 금융권에서는 임원급 CISO 선임에 부담감을 표시해왔다. 비용이 늘어나고 조직개편이 뒤따라야 하기 때문이다. 금융당국은 지난달 금융권 CIO들을 소집해 임원급 CISO를 별도로 선임할 것을 권고했지만 별 소득이 없었던 셈이다. 수협과 정책금융공사는 지난달 법 시행에도 불구하고 아직 CISO를 선임하지 않고 있다.
한편 CISO를 겸직하지 않는 금융회사는 기업은행 NH농협은행 경남은행 현대카드 현대캐피탈 흥국생명 흥국화재 등 7개사였다. 농협은행은 지난달 15일 조직개편과 함께 인사를 실시해 은행장 직속으로 전산정보실을 설치하고 CISO에 백성현 전산정보실장을 선임했다.
황진영 기자 buddy@donga.com
유성열 기자 ryu@donga.com