[보안뉴스 김지언] 지난 10월 15일 전자금융거래법에 일정 규모 이상의 대형 금융회사나 전자금융업자의 정보보호최고책임자(이하 CISO)는 다른 정보기술부문 업무를 겸할 수 없다는 조항이 신설됐다. 이에 내년 4월 16일부터 많은 금융사들의 CISO 겸직이 금지될 예정이다.

이에 본지는 겸직 금지 법 시행에 앞서 국민은행, 기업은행, 농협, 산업은행, 신한은행, 우리은행, 외환은행, 하나은행, 한국스탠다드차타드은행, 한국씨티은행 등 국내 10대 시중은행을 대상으로 CISO의 겸직실태를 조사했다. 조사결과 하나은행, 외환은행, 산업은행 등 3곳의 CISO는 CIO를 겸하고 있었으나, 나머지 7개 은행의 CISO는 CIO 등과 분리돼 있는 상태로 파악됐다.

이와 관련 국내 최대 은행인 국민은행의 김종현 본부장은 “IT는 시스템 안정성과 효율성을 우선시하고 정보보호는 시스템 안정성과 효율성이 낮아진다 하더라도 보안절차를 강화하거나 추가해야 하는 운영상의 철학 차이 때문에 CISO를 CIO와는 다른 정보보호본부 소속으로 분리했다”고 밝혔다.

기업은행의 박선 본부장 역시 정보보호센터 소속으로 IT 본부 소속인 CIO와는 분리돼 있는 것으로 확인됐다. 기업은행 관계자는 “개발부서와 보안부서는 서로 견제되어야 하는데 CISO와 최고정보책임자(이하 CIO)가 겸직할 경우 개발의 효율성 측면을 우선시하게 돼 보안이 취약해질 수 밖에 없다”고 분리 이유를 설명했다. 

남승우 CISO를 부행장으로 둔 농협 역시도 “임원급의 CISO 지정만으로는 아무 의미도 없다고 생각하기에 기존 정보보호부서를 정보보안본부로 승격시켜 CISO를 지정 및 분리시켰다”고 밝혔다.

신한은행은 지난해 12월 이병도 본부장을 CISO에 선임하고 CIO와 분리함으로써 정보보호 강화에 노력하고 있다. 그러나 이 본부장이 CIO인 부행장이 이끄는 업무개선그룹 소속인 정보보안본부에 배치된 것이 확인되면서 CIO를 견제하며 업무를 하기에는 무리가 따를 것이라는 지적도 제기된다. CISO가 독립적 위치에 있지 않고 CIO 밑에 있기에 CIO의 눈치를 볼 수밖에 없다는 측면에서다.

김두호 본부장을 CISO로 앞세운 우리은행은 “CEO 밑에 고객정보센터를 독립적으로 운영하면서 정보보안에 힘쓰고 있다”고 말했다.

한국스탠다드차타드은행은 최근 CISO의 독립성과 중요성이 급부상함에 따라 지난 7월, 김홍선 안랩 前 대표를 CISO로 영입했다. 이와 더불어 기존 전무급이던 CISO의 직급을 부행장급으로 격상시키기도 했다.

한국씨티은행은 고객정보보호를 강화하기 위해 김도수 본부장을 CISO로 내세워 고객정보보호본부를 운영하고 있다.

공웅식 본부장이 CISO와 CIO를 겸하고 있는 외환은행은 새로운 CISO 모집을 진행하고 있는 것으로 알려졌다. 현재는 공웅식 본부장이 전산 및 보안부서 2곳을 별도로 운영하고 있다.

역시 CISO와 CIO를 겸하고 있는 하나은행 유시완 본부장도 고객정보보호본부를 통해 IT보안부와 고객정보보호부라는 2개 부서를 담당하고 있다. 유시완 본부장은 “기술, 정책, 전략 등 전반적인 조직내의 보안문화 형성을 위해 기술적인 부분 이외의 부서도 같이 포함해 운영하고 있다”고 전했다.

산업은행은 양우정 부행장이 CIO와 CISO를 겸직하고 있는 것으로 파악됐다. 산업은행 측은 “전자금융거래법이 개정됨에 따라 내년 상반기 중까지 CISO와 CIO를 분리하는 방안을 검토 중”이라고 밝혔다.

▲ 국내 10대 시중은행 CISO 겸직 현황 및 소속부서(본지 조사)

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>