경영실장·남북 업무 책임자가 겸직, 소형 금융사 차장급이 최고 책임자

‘남북협력 업무 책임자가 정보보호최고책임자(CISO), 압구정 지점장이 최고정보책임자(CIO)….’

전자금융거래법에 따르면 총자산 2조원, 종업원 300명 이상이면 CISO를 임원으로 지정해야 한다. CISO는 정보기술(IT)을 보호하고 관리해야 하며, 전자금융거래 사고 예방과 조치도 취해야 한다. 그러나 국내 금융사가 금융감독원에 보고한 ‘CISO·CIO의 이력서’는 한심한 수준이었다.

금감원은 자체적으로 롯데손해보험의 CISO, 하나SK카드의 CISO를 자격 미달인 것으로 보고 있다. 또 지난해 우리투자증권의 CISO와 하나생명보험의 전직 CISO 두 명 모두 자격 불충분으로 표기했다. 우리투자증권 측은 “IT 경력 부족으로 개선 지시를 받아 새 CISO를 선임했다”고 밝혔다. 특히 소형 금융사에서는 인원 부족 등의 이유로 차장급이 최고책임자였다. 한양증권과 리딩투자증권의 CISO 직위는 차장이었다.

이상진 고려대 정보보호대학원 교수는 19일 “정보 보안 책임자가 다른 직책과 달리 전문적 지식과 경력이 필요한 이유는 정보 보안 장비의 특성을 이해해야만 어떤 장비나 프로그램 등을 이용해 보안이 가능할지를 판단하고 업무를 추진할 수 있기 때문”이라고 설명했다.

또 CISO와 CIO 대부분이 다른 업무와 겸직한 것으로 조사됐다. 겸직을 하더라도 IT 업무를 같이하는 것은 양호한 편이었다. 업무 연관성이 없는 분야를 겸직하는 사례도 수두룩했다. BNP파리바카디프생명보험은 마케팅 및 운영총괄 부사장이 CISO였고 CIO는 아예 없었다. 미래에셋생명보험은 준법감시인이 CISO였고, KDB대우증권은 HR본부장이 CISO로 임명됐다. 삼성선물은 재무담당최고책임자(CFO)가 CIO였다.

업권별로 보면 겸직 비율은 보험(90.2%)이 가장 높았다. 이어 증권·선물·종금(80.8%), 은행(74.6%), 카드(60.0%) 순이었다. 재보험사인 코리안리의 CIO는 장기 자동차 보험부장을 겸임했다. KB생명의 CISO는 고객만족본부장을 맡았고, 골든브릿지투자증권의 압구정 지점장은 CISO와 CIO를 동시에 담당하고 있다.

업권별 평균 근무 기간은 1년을 겨우 웃돌았다. 평균 근무 기간이 짧다는 것은 CISO와 CIO를 잠시 머물다 가는 자리로 인식한다고 해석할 수 있다. 업무의 전문성이 떨어질 수밖에 없는 대목이다. 평균 근무 기간이 가장 짧은 업권은 은행으로 1년에 불과했다. 이어 카드(1년 5개월), 증권·선물·종금(1년 8개월), 보험(1년 11개월) 순으로 길었다. CISO와 CIO 가운데 정보 보호와 IT 관련 비(非)전공자 비율이 가장 높은 업권은 보험으로 57.8%로 집계됐다. 은행(47.8%), 증권·선물·종금(42.5%), 카드(36.0%) 순으로 비전공자 비율이 높았다.

김경두 기자 golders@seoul.co.kr

김진아 기자 jin@seoul.co.kr