금융회사들이 개인정보 유출로 곤욕을 치른 뒤 ‘소 잃고 외양간 고치기’에 나섰다. 정보보안을 책임질 임원급 정보보호최고책임자(CISO)를 독립적으로 두고 적합한 인물을 찾고 있다. 그동안 최고정보관리책임자(CIO)가 이 역할을 겸직했지만 미흡하다는 지적이 많은 탓이다.
◆ CISO 임원 둔 금융사, 전체 중 28%
20일 기업 경영성과 평가 사이트인 CEO스코어에 따르면 국내 주요 50개 금융사 중 임원급 정보보호최고책임자를 둔 회사는 14개로 전체의 28%에 불과했다.
다른 36개 회사 중 23개는 최고정보관리책임자인 임원이 정보보호최고책임자를 겸직했다. 부장급 직원이 두 업무를 모두 맡은 회사도 7개나 됐다. 나머지 5개는 부장급 정보보호최고책임자를 선임했다.
현행 상법은 직원 300명 이상 금융기업의 경우 정보보호최고책임자를 임원으로 임명하도록 명시했다.
|
|
|
▲ 1월20일 카드3사 대표이사들이 개인정보 유출과 관련해 고개숙여 사죄하고 있다. |
이 규정을 가장 잘 지킨 금융사는 카드회사들이다. 전업 카드회사 8개 중 6개 회사는 임원급 정보보호최고책임자를 두고 있다. 신한카드 KB국민카드 롯데카드 삼성카드 하나SK카드 현대카드 등이다.
증권업계는 10개 가운데 KDB대우증권 메리츠종금증권 미래에셋증권 하나대투증권 등 4개 회사가 임원급 정보보호최고책임자를 뒀다.
9개 손해보험 회사는 삼성화재보험 한화손해보험이 법률 요건을 맞췄다. 5개 금융지주사와 은행 9개 중에는 각각 우리금융지주와 국민은행만 규정을 충족했다. 생명보험 회사 중 전임 정보보호최고책임자 임원을 둔 곳은 한 곳도 없었다.
임원급 최고정보관리책임자가 정보보호최고책임자까지 겸직한 곳은 교보생명 LIG손해보험 하나은행 한국투자증권이다. 이 중에서 KB금융지주와 농협에서 고객 개인정보 유출 사고가 일어났다.
부장급 직원이 정보보호최고책임자를 맡은 회사는 농협금융지주 신한금융지주 신한은행 기업은행 우리투자증권 등 총 5곳이었다.
◆ 발등에 불 떨어진 금융사, CISO 제대로 찾을까
임원급 정보보호최고책임자가 없는 31개 금융 회사는 발등에 불이 떨어진 상태다. 국회에서 이달 정보호호최고책임자와 최고정보관리책임자의 겸직을 금지하는 전자금융거래법 개정안을 통과할 가능성이 높기 때문이다.
KB금융지주가 대표적이다. KB금융지주는 18일 고객정보 보호와 대외 업무 기능 강화에 중점을 둔 조직개편을 단행했다. 이 조직개편에 독립적 임원급 정보보호최고책임자를 임명하는 것도 포함됐다.
KB금융지주는 정보보호최고책임자 밑에 정보보호부를 신설해 독립적으로 고객정보 보호 기능을 수행하기로 했다. 그동안 최고정보관리책임자 산하의 IT부서가 정보 보호 기능을 담당했다.
이렇게 제도는 갖췄으나 아직 적임자는 찾지 못하고 있다. KB금융지주 관계자는 “신임 임원과 정보보호부를 이끌 사람을 물색중”이라며 “가능한 이른 시일 안에 관련 인사를 하기로 했다”고 말했다.
다른 금융 회사도 사정은 비슷하다. 지난달 말 기준으로 정보보호최고책임자를 선임한 곳은 국민은행 신한은행 농협 대구은행 비씨카드 현대카드 등이다. 나머지 금융회사는 상반기 중에 적당한 인물을 찾을 예정이다. 최근 고객 개인정보가 대량으로 유출된 카드 3사도 정보보호를 맡을 임원급 인사를 알아보고 있지만 아직은 결정된 사항이 없다.
업계 전문가들은 금융회사가 정보보호최고책임자를 찾기 힘든 이유로 ‘나이’를 들고 있다. 일반적 자격 요건은 IT·보안 분야 전공과 15년이 넘는 IT 경험 및 5년 이상의 보안 경력이다. 이밖에도 정보보호 관련 자격증과 해당 분야 근무경력도 필요하다.
정보보호최고책임자 채용을 진행중인 금융회사들은 대부분 ‘50세 이상’ 등의 조건을 내걸고 있다. 그러다 보니 20년 이상 경험을 쌓은 인물이라고 해도 40대인 경우 나이 자격을 맞추지 못해 지원을 하지 못하고 있다.
하지만 금융회사들은 어쩔 수 없다는 입장을 보이고 있다. 다른 임원들이 대체로 50대 이상이어서 나이를 맞춰야 한다는 것이다. 한 관계자는 “금융 회사는 조직 평균 연령이 높아 조직문화 측면에서 정보보호최고책임자의 나이를 무시할 수 없다”며 “연륜과 능력을 모두 갖춘 사람은 찾기 힘들다”고 말했다.
이와 관련해 IT 회사에서 일하는 한 정보보호최고책임자는 “(금융회사) 조직문화를 우선시하기보다 능력있는 사람을 채용해 권한과 힘을 실어주는 것이 더 중요하다‘고 지적했다.