금융사는 정보보호를 담당하는 CISO를 따로 두는 금융사는 거의 없으며 대부분 CIO가 겸직하는 형태다.
이홍섭 한국CSO협회 회장은 “금융권에는 거의 CSO가 겸직해 CISO라 불릴 만한 사람이 없다”며 “금융업무와 보안기술을 동시에 아는 인재가 드물고 정책 권한이 없기 때문에 임원급의 CISO 임명을 꺼린다”고 밝혔다.
실제 조사에서도 금융사 3곳중 2곳만 CISO를 두고 있는 것으로 조사됐다.
개인정보 유출 등으로 금융사의 정보 보안 이슈가 뜨거워지고 있지만, 국내 50개 주요 금융사 중 3분의 1에도 못 미치는 14개사만 임원급 정보보호최고책임자(CISO)를 두고 있는 것으로 나타났다.
최근 기업 경영성과 평가사이트인 CEO스코어가 금융지주, 은행, 보험, 카드 증권 등을 망라한 국내 50개 대형 금융사의 3월말 현재 CISO 현황을 조사한 결과 CISO 임원을 두고 있는 곳은 28%인 14곳에 불과했다.
나머지는 대부분 최고정보책임자(CIO) 역할까지 겸직하고 있다. 일부 금융사는 임원이 아닌 부장급을 책임자로 두는 상황이어서 정보보호 대책이 크게 미흡하다는 지적이다.
업종별로는 규모가 비교적 작은 카드와 증권사들의 CISO 선임 비율이 비교적 높았던 반면 대형사인 지주사, 은행, 보험 등은 거의 유명무실했다.
심지어 생보사 중에서는 전임 CISO 임원을 둔 곳이 단 한 곳도 없었다.
금융기관 재직자를 대상으로 금융정보보호 석사과정(FPS Program)을 운영인 연세대학교 정보대학원 및 고용계약형 금융보안학과를 운영중인 고려대학교 정보보호대학원 등도 금융사에서 직원을 파견, 교육시키는데 보수적이라고 밝힌다.
김범수 연세대 금융정보대학 부원장은 “금융사가 단발적인 일회성 교육은 꾸준히 수행하는데 비해 전담인력 전문가 양성에는 인색하다”며 “하지만 실제 조사 결과 단발성 보안 교육 수행 시 1~2개월이 지나면 효과가 현저히 떨어지는 것으로 나타났다”고 말했다.
◆ 장기적·지속적 보안정책 운영할 CISO 시급
김 부원장은 “물론 비밀번호 변경, USB 사용금지와 같은 일회성 보안교육도 꾸준히 실시해야하지만 비용에 비해 효과가 적고 사고 발생 때 마다 한 두번 수행한다고 직원들의 보안의식이 높아지는 것은 아니다”며 “기관 내 보안정책을 수립하고 지속적으로 선도해갈 수 있는 CISO의 존재가 꼭 필요하다”고 강조했다.
관련 전문가들은 금융사에서 보안 관리자를 선호하지 않는다고 전한다. 보안 실무를 실무자 또는 아웃소싱을 통해 저렴하게 해결하려 한다는 것. 보안 실무에 능한 사람이 금융실무까지 정통해 관리자의 자리에 오르기가 쉽지 않은 구조다.
최근 카드사 개인정보유출사고 이후 금융권에서 CISO를 모집한다는 공고를 보고 국내 모 증권사 CISO 자리에 지원한 국제기구의 한 보안 전문가는 “스펙이 너무 과해서 적합하지 않다”는 정중한 거절을 들어야했다.
기술과 경력이 뛰어나도 높은 연봉과 대우가 못내 부담스럽다는 속내다.
보안 사고가 날 때마다 CISO에 대한 처벌과 문책이 따르는 것도 CISO 제도 운영의 걸림돌이다.
김인석 고려대 정보보호대학원 교수(전 금융감독원 금융IT연구소장)는 “임원급에서 CISO자리를 자원하는 관리자가 드물다”며 “권한 없이 책임만 주어지는 자리를 위해 굳이 공부까지 해가며 맡아야 할 이유가 없기 때문”이라고 말했다.
김 교수는 “보안 실무부터 차근차근 밟아 올라가 CISO로 관리자가 될 수 있다는 희망이 있어야한다”며 “또한 CISO에 실질적인 권한과 지속적인 정책 수립 능력을 주고 소신 있게 일할 수 있는 환경을 뒷받침해야한다”고 설명했다.