‘전자금융거래법 시행령 개정안’에 따르면 총자산 10조원 이상, 종업원수 1000명 이상인 금융회사의 정보보호최고책임자(CISO)는 최고정보관리책임자(CIO) 등 다른 업무와 겸직할 수 없다고 되어 있다. 하지만 전자금융거래법 시행일 이전에 임명된 CISO의 경우, CIO 겸직이 예외적으로 허용된다는 부칙으로 인해 CISO와 CIO가 분리되지 않은 증권사도 있다.

이에 앞서 지난 10일에는 금융보안원이 창립되면서 기존 은행과 증권으로 분리돼 있던 사이버위협 정보공유 시스템도 통합 운영된다. 현재 증권사를 포함한 금융시장의 90%가 얼굴을 보지 않고 처리하는 ‘비대면 거래’이기 때문에 보안이 제대로 지켜지지 않을 경우 수익과도 직결될 수 있어 증권회사의 경우 보안은 모든 업무의 중심이 되고 있다.

일례로, NH투자증권은 기존에 겸임하던 CISO와 CIO를 분리했다. 이번 인사는 CISO의 다른 정보기술부문 업무 겸직을 금지하는 전자금융거래법 시행에 따른 것이다.

또한, 우리투자증권은 보다 철저한 고객 정보보호를 위해 관리체계를 강화하고, 보안 시스템 개편 등을 통한 보안의식 제고에 힘쓰고 있다. 특히, 보안위험을 임직원 및 외주직원에 의한 정보유출 등의 내부 보안위협과 해커 및 외부인에 의한 해킹·DDoS 등 외부 보안위협의 2가지 유형으로 구분해 별도의 관리적·기술적·물리적 보안대책을 수립 및 시행 중에 있다.

이를 위해 전 임직원을 대상으로 연간 정보보호 교육과 다양한 보안 홍보활동을 수시로 실시하고 있으며, 월 1회 정보보호의 날을 지정해 보안점검 등 전사 보안관리 활동을 정기 수행하고 있다. 이 외에도 정보유출 방지를 위해 여러 보안 시스템을 도입·운영하고 있다.

이 외에도 최근 KDB대우증권, 메리츠종합금융증권, 미래에셋증권, 하나대투증권 등은 임원급 CISO를 선임했다. 다만, 삼성증권, 현대증권 등은 CIO가 CISO를 겸임하고 있다.

이에 대해 HMC투자증권 보안담당 최승혁 부장은 “CISO와 CIO의 겸직 또는 분리는 각 금융회사의 조직이나 업무 환경에 따라 다를 수 있다. 물론 분리해서 운영하는 것이 보안 등 여러 가지로 이점이 있겠지만, 규모가 작은 금융회사에서 이를 분리해서 운영하기는 쉽지 않으며, CISO로 선임할 만한 경력의 전문인력도 구하기 힘들다”고 말했다.

김병철 대신증권 CISO·전무(증권·선물 CISO협의회장)는 “금융회사에 전담 CISO를 두는 것은 정보보호 업무에 대한 인식변화의 결과다. 기존에 정보보호는 IT 업무의 보조적인 역할을 했지만 이제는 정보보호가 전체적인 IT 업무의 중심이 됐다”면서 “금융회사 CISO는 고객정보 유출, 침해사고 등 정보보호 이슈가 발생하지 않도록 하는 역할을 해야 한다”고 말했다. 이런 의미에서 CISO와 CIO를 겸직하고 있는 금융회사들은 원칙적으로 분리해 운영하는 것이 ‘전자금융거래법 시행령 개정안’의 본래 취지에 맞다는 것이다.

또한, 그는 “CISO와 CIO를 분리하는 것은 독립적인 보안정책을 수립·강화하고 전산투자와 개발·도입에 있어 정보보호 요건을 갖추도록 한다는 것이므로 정보보안 측면에서 강화 효과가 있다”면서 “CISO와 CIO의 겸직은 IT 개발에만 초점이 맞춰져 있어 정보보호를 소홀히 할 수 밖에 없다. 금융회사는 전담 CISO의 임명으로 협업과 통제를 통한 정보보호를 체계적으로 갖출 수 있다”고 강조했다.

이렇듯 금융회사에 대한 감독규정과 관련 법률 개정 등으로 금융회사, 특히 증권회사의 보안은 더욱 강화될 것으로 보인다. 그러나 핀테크와 관련해서는 기존 의무였던 보안성 심사가 자율이 되고 공인인증서나 액티브X 사용도 금융회사 자율에 맡겨지기 때문에 증권사는 보안을 강화하면서도 고객편의를 극대화해야 하는 어려운 숙제가 남게 됐다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>