금융권 3분의 1 'CISO 선임 안했다'

아주경제 장윤정 기자 =  지난해 사상 최대 규모의 개인정보 유출 사태를 겪었음에도 불구하고 국내 49개 주요 금융사 중 3분의 1은 여전히 전담 정보보호최고책임자(CISO)를 선임하지 않은 것으로 나타났다.

특히 연말 연초 임원 인사가 대부분 마무리된 현재 상황에서도 삼성생명, NH투자증권 등 대형사조차 전담 임원급 CISO를 선임하지 않을 정도로 금융권의 정보보안 불감증이 심각한 것으로 드러났다.

28일 기업 경영성과 평가사이트 CEO스코어(대표 박주근)에 따르면 지난 23일 기준으로 금융지주 4곳, 시중은행 9곳, 생명보험·손해보험 각 9곳, 카드 8곳, 증권 10곳 등 국내 49개 주요 금융사의 CISO 현황을 조사한 결과, 전담자를 선임하지 않는 금융회사는 16곳(32.7%)인 것으로 집계됐다.

전자금융거래법에 따르면 금융회사는 직전 사업연도 말 총자산이 2조 원 이상이고, 종업원 수가 300명을 넘을 경우 정보보호최고책임자를 임원으로 지정해야 한다.

관련기사

• ​2015년 보안, '글로벌에서 답 찾는다'
• ​KB국민·롯데·NH농협카드 3사, 내년부터 문자 서비스 유료 전환

현재는 CISO가 최고정보책임자(CIO)를 겸임할 수 있지만 오는 4월 16일부터는 전자금융거래법상 이 둘을 분리해 임명해야 하기 때문에 16개 사는 그 이전에 전담 임원급 CISO를 새로 찾아야 한다.

업종별로는 금융지주와 은행의 전담 CISO 비율이 80% 이상으로 높은 반면, 생보, 손보 등 보험은 50% 이하로 낮았다. 보험업계는 지난해 모집인 등 관련자를 통한 개인정보 유출로 금감원 제재를 받았음에도 여전히 가장 낮은 비율을 기록했다.

지난해 1분기 당시에도 생보는 전담 CISO를 둔 곳이 한 군데도 없었고, 손보도 9곳 중 2곳(22.2%)만이 전담 임원을 선임하며 최저 비율을 나타냈다.

생명보험 업계는 총자산 기준 1,2위인 삼성생명과 한화생명이 나란히 전담 CISO를 두지 않았고, 미래에셋생명과 흥국생명, 알리안츠생명 등 조사대상 9개 기업 중 5곳(55.6%)이 전담자가 없었다.

손해보험 역시 업계 3위인 동부화재를 비롯해 LIG손해보험, NH농협손해보험, 롯데손해보험, 흥국화재 등 9개 조사 업체 중 5곳(55.6%)에서 전담 CISO가 없었다.

4대 금융지주는 전담 CISO를 모두 두고 있었지만, 농협금융지주와 하나금융지주는 단장과 부장으로 전담자가 임원은 아니었다.

물론 농협과 하나금융은 직원 수가 300명을 넘지 않아 CISO를 임원으로 선임하지 않아도 되지만, 책임자급이 임원인 곳에 비하면 정보보안 업무 진행에 힘이 덜 실릴 수밖에 없다.

시중은행 9곳 중에서는 외환은행만이 전담 CISO를 두지 않았다.

10대 증권사 중에는 업계 1위인 NH투자증권을 비롯해 삼성증권, 현대증권 등 3곳이 CIO가 CISO를 겸임하고 있었다.

카드 업계에서는 비씨카드와 우리카드가 전담 CISO가 없었다.

전문가들은 당국의 이러한 방침에 대해 규제개선에 따른 금융사고 가능성을 차단하고 금융소비자들의 불안감을 덜어줄 수 있는 대비책이 우선적으로 마련돼야 한다고 지적했다.