기획 & 캠페인
대다수 중·소형 증권사 CISO 타 업무와 겸직...독립성 보장 안돼
상태바
대다수 중·소형 증권사 CISO 타 업무와 겸직...독립성 보장 안돼
  • 김건우 기자 kimgw@csnews.co.kr
  • 승인 2019.02.28 07:07
  • 댓글 0
이 기사를 공유합니다

국내 상당수 중·소형 증권사의 정보보호최고책임자(CISO)가 다른 업무를 겸직하고 있는 것으로 나타났다. 그 중 일부는 준법감시인이나 전략기획 등 주 업무와 무관한 경우도 있었다.

지난해 삼성증권 배당사고 이후 금융당국과 금융투자업계에서도 전산 및 내부통제시스템 점검을 강화하는 등 재발 방지에 나서고 있다. 하지만 보안관련 담당임원에 대한 업무 독립성 강화 등 개선사항은 여전히 남아있다.

자기자본 기준 상위 20개 증권사 중 현재 CISO가 독립적인 업무를 수행하고 있는 증권사는 미래에셋대우와 NH투자증권, 삼성증권 등 10개사다.  '총 자산 10조 원 이상, 상시 종업원 수 1000명 이상' 증권사 들이다.

지난 2015년 4월부터 시행된 전자금융거래법 시행령 개정안은  CISO 겸직 제한 금융회사를 '총 자산 10조 원 이상이며 상시 종업원 수 1000명 이상'으로 규정하고 있다.

이들 외  증권사 중 상당수는 IT담당 임원이 CISO 업무까지 담당하고 있다. 더욱이 키움증권(전략기획본부 임원)과 한화투자증권(준법감시인)은 CISO가 IT·보안과 무관한 업무까지 겸직하고 있어 문제될 소지가 있다.    

유안타증권과 교보증권, IBK투자증권은 임원은 아니었지만 본부장급이 CISO 업무를 담당하고 있다. 

CISO의 겸직 제한 규정은  지난 2015년 금융권에서 정보유출 사고가 연이어 터지자 독립적 업무 수행에 대한 여론이 높아지면서 만들어졌다.

문제는 CISO 겸직 금지 기준을 충족하는 증권사가 전체 증권사의 20%에도 미치지 못하면서 해당 조항의 실효성 여부에 의문이 제기되고 있는 것. 개정안 발의 당시 CISO 수요가 적은 금융권 특성을 감안해 조건에 해당되는 금융회사만 겸직 의무를 적용시켰지만 이후 금융투자업계에서 전산장애를 비롯한 금융사고가 대거 발생했기 때문이다.

지난해에도 삼성증권 배당 사고 외에도 유진투자증권의 해외주식 초과 매도 사고가 연이어 터졌다. 뿐만 아니라 미래에셋대우와 키움증권에서도 트레이딩 프로그램 접속장애가 발생해 투자자들이 대거 불편을 겪으면서 증권사 내부통제 시스템과 보안·전산시스템에 대한 개선의 목소리가 이어졌다.

190227001.png

현재 CISO를 다른 업무와 겸직하고 있는 증권사는 전자금융거래법상 '겸직 금지' 기준에 해당하지 않아 법적인 문제는 없지만 CISO 겸직 제한이 금융·보안사고 예방 조치라는 점을 감안한다면 개선이 필요하다는 지적이다.

2015년 전자금융거래법 시행령 개정안 적용 당시 CISO에 대한 수요 부족과 중소형 금융사의 경우 CISO 선임에 대해 현실적인 어려움을 호소해 금융당국에서도 단계적으로 CISO 겸직 금지를 강화하는 방향으로 검토한 바 있다.

한편 과학기술정보통신부에서 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령'을 입법예고하면서 자산 5조 원 이상 정보통신서비스 제공업체의 CISO 겸직을 금지하도록 추진하는 가운데 금융당국을 중심으로 이미 정통망을 통해 서비스를 제공하는 금융회사도 동일한 기준으로 적용해야한다는 목소리가 나오고 있어 향후 추이도 주목되고 있다.

[소비자가만드는신문=김건우 기자]


주요기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.