▲ 아제이 칸왈 한국SC은행장(왼쪽)은 14일 정보보호최고책임자(CISO)로 김홍선 전 안랩 대표이사(오른쪽)를 선임했다.

아제이 칸왈 한국SC은행장이 김홍선 전 안랩 대표이사를 정보보호최고책임자(CISO)를 선임했다. 칸왈 행장은 고객정보유출사고 책임으로 물러난 리차드 힐 전 행장의 뒤를 이어 4월 취임했다. 칸왈 행장이 CISO 선임으로 정보유출사고의 오명을 씻을 수 있을지 주목된다.

SC은행은 CISO 직급을 전무에서 부행장으로 올리고 행장 직속의 정보보안 조직을 이끌도록 했다.

김홍선 부행장은 18년 동안 정보보안 분야에서 일한 보안 전문가다. 지난해 말 안랩을 떠나기 전까지 5년 넘게 안랩을 이끌었다. 안랩을 소프트웨어 기업으로 처음으로 매출 1300억 원대로 끌어올렸다.

특히 김 부행장은 2011년 디도스 대란 당시 악성코드와 배포지를 조기에 탐색해 선제대응하는 성과를 내기도 했다.

김 부행장은 서울대학교 전자공학과에서 학사와 석사를 마친 뒤 미국 퍼듀대학교에서 컴퓨터공학으로 박사학위를 받았다. 삼성전자와 미국 TSI사를 거쳐 줄곧 정보보안 분야에서 일했다.  시큐어소프트를 창업해 코스닥에 등록시켰다.

김 부행장은 “금융 분야에 최고의 정보보안체계가 필요하다”며 “글로벌 금융그룹 SC에서 그동안 쌓은 전문성을 발휘할 것”이라고 밝혔다.

SC은행은 지난해 말 최악의 개인정보 유출사건을 겪었다. 무려 9만4천 건의 고객 개인정보가 유출됐다. 이 때문에 임기를 2년 남긴 리차드 힐 행장이 책임을 지고 사임했다. 지난 달에도 수사결과 1만1천 건의 개인정보 유출이 추가로 확인됐다.

칸왈 행장은 취임 후 첫 간담회에서 “개인정보 유출은 매우 실망스러운 일”이었다며 “SC은행은 고객정보보호를 최우선 과제로 생각하고 문제해결에 적극 노력할 것”이라고 말했다.

이번 CISO 선임은 이런 칸왈 행장의 약속을 이행하는 것이기도 하다. CISO 선임은 금융거래법 시행령으로 의무화돼 있지만 사실상 유명무실하다. 이런 상황에서 SC은행은 보안 전문가를 부행장급 CISO로 영입해 가시적 행동에 나선 것이다.

금융권 내 CISO 선임은 2012년 의무화됐지만 3월 말 기준 50개 금융사 중 34%인 17곳만 전임CISO를 두고 있다. 카드사를 제외하면 CISO 보유 비율은 21.4%로 더 떨어진다. 심지어 CISO를 의무적으로 운영해야 하는 금융공기관 20여 곳 중 전임 CISO를 운용하고 있는 곳은 코스콤 한 곳뿐이다.

CISO가 있어도 형식적 조직만 갖추고 있고 상응하는 권한이 주어지지 않은 경우도 많다. 한 업계 관계자는 “세계 100대 은행에 이름을 올린 대형 금융사도 CISO 운용에 소극적”이라며 “CISO조직에 임원 1명과 직원 2명 정도가 전부인 경우도 있다”고 말했다.

사정이 이러니 금융권 CISO는 총알받이라는 말도 나온다. 의무적으로 자리를 채우고 있다가 사건이 터지면 책임지고 물러나는 역할이라는 것이다.

SC은행은 뼈아픈 사고를 겪고 나서 CISO의 중요성을 깨달았다. 이 때문에 SC은행이 김 부행장을 CISO로 선임하고 보안조직을 강화하려는 움직임이 다른 은행들의 정보보안 정책에 영향을 줄 수 있을 것으로 기대하는 이들이 많다.

업계 관계자는 “외국계 금융사에서 CISO의 위상은 CIO(최고정보책임자) 못지 않다”며 “정보보안의 가치가 갈수록 높아지는 만큼 국내 금융사도 CISO 운용에 신경을 쓰지 않을 수 없을 것”이라고 말했다.