증권사들이 정부의 고객정보 보호정책 강화를 따라 보안담당 임원을 늘리고 있다. 그러나 대부분의 증권사는 여전히 IT사업과 정보보안을 임원 1명에게 한꺼번에 맡기고 있다.

보안 전문가들은 두 직위가 분리돼야 보안정책의 실효성이 생긴다고 주장한다.

14일 금융권에 따르면 금융투자협회는 이르면 이달 말에 협회 아래 조직으로 증권과 선물업계 최고정보보안책임자(CISO)협의회를 만든다. 금융투자협회는 현재 회원사의 최고정보보안책임자 현황을 조사하고 의견을 받고 있다.

금융투자협회 최고정보보안책임자 협의회는 증권업계 최초로 생기는 보안담당 임원 모임이다. 금융투자협회는 정부의 법 개정에 따라 증권회사들이 잇따라 최고정보보안책임자를 선임하자 업계 차원에서 보안협의를 하기 위해 회의체를 만들었다.

증권업계 관계자는 “증권 거래채널이 늘어나고 IT기술과 금융을 결합한 핀테크가 증권업계에서도 화두가 되면서 보안이 매우 중요해졌다”며 “최고정보책임자(CIO)와 최고정보보안책임자를 앞으로 겸직하기 힘들어진 만큼 최고정보보안책임자의 역할이 더욱 커질 것”이라고 말했다.

정부는 지난해 11월 정보통신망법을 개정해 온라인 거래를 제공하는 모든 증권회사가 최고정보보안책임자를 지정해 신고하도록 했다.

정부는 올해 4월부터 시행하는 전자금융거래법에서도 자산 5조 원, 직원 300명 이상인 금융회사가 최고정보보안책임자를 최고정보책임자와 분리해 임명해야 하며 겸직도 불가능하다고 규정했다. 시행일 이전에 선임된 경우는 겸직할 수 있으나 다음 인사부터 별도로 임명해야 한다.

대형 증권회사들은 법 개정에 따라 지난해 말 정보보호 관련조직을 대거 신설했다. 일부 회사는 최고정보보안책임자를 따로 선임하기도 했다. 하지만 대부분의 회사는 최고정보책임자가 여전히 최고정보보안책임자를 겸임한다.

신한금융투자증권은 지난해 말 CEO 직속으로 정보보호본부를 신설하면서 허성호 정보보호본부 본부장직대행을 최고정보보호책임자로 임명했다. 신한금융투자는 최고정보책임자의 업무에서 정보보안과 금융정보 보호체계를 분리해 강화했다고 설명했다.

대신증권도 올해 정보보호조직을 새로 만들면서 최고정보책임자였던 김병철 전무를 최고정보보안책임자로 임명했다. 대신증권은 사내에 정보보호위원회를 설치해 IT와 정보보안 기능을 강화한다.

그러나 대부분의 증권회사들이 전자금융거래법 시행 이전에 최고정보책임자가 최고정보보호책임자를 겸직하도록 조치했다. 정보보호조직을 새로 만든 회사들조차도 두 직위를 한 사람에게 모두 맡긴 경우가 많았다.

NH투자증권은 지난해 말 출범하면서 정보보호본부 조직을 새로 만들고 최고정보책임자인 박선무 상무가 최고정보보안책임자를 겸직하기로 했다. 삼성증권과 유진투자증권도 정보보호팀을 운영하면서 각각 이제훈 전무와 박은성 본부장에게 두 직위를 모두 맡겼다.

보안업계 관계자는 “최고정보책임자가 최고정보보안책임자를 겸임할 경우 고객정보 보호보다 IT사업의 효율성에 신경을 쏟는 경우가 많다”며 “정부가 보안을 강화하기 위해 법을 개정했으나 한동안 취지를 살리기 힘들 것으로 보인다”고 말했다. [비즈니스포스트 이규연 기자]