카드사 등으로부터 대규모 고객정보가 유출된 지 벌써 2년여가 지났다.

그동안 금융사들은 국내 인증제도인 '정보보호 관리체계(ISMS;Information Security Management System)'를 비롯해 정보보호 표준 국제 인증인 'ISO27001 인증', '정보보호 최고책임자(CISO;Chief Information Security Officer) 지정'를 통해 정보보안을 강화해 왔다.

각 제도들이 갖고 있는 한계점, 보완되어야 할 점들이 무엇인지 3편에 걸쳐 살펴봤다.

◇ CISO 지정제도란?

정보보호 최고책임자(이하 CISO)는 전자금융거래의 안정성을 확보하고 이용자를 보호하기 위한 전략과 계획을 수립한다. 또 정보기술부문의 보안에 필요한 인력관리 및 예산을 편성하고, 관련 사고가 발생시 예방 빛 조치를 하는 등 정보기술부문 보안을 총괄하는 게 주요 업무다.  

금융위원회는 '전자금융거래법'에 따라 직전 사업연도 말을 기준으로 총자산이 2조 원 이상이고 상시 종업원 수가 300명 이상인 금융회사 또는 전자금융업자가 의무적으로 CISO를 지정하도록 하고 있다.

2014년 카드사 정보유출 사고 이후 CISO 지정을 의무사항으로 해야 한다는 여론에 따라 관련 법이 개정됐다.

전자금융거래법은 2014년 10월 CISO가 다른 정보기술부문 업무를 겸직하지 않도록 조항을 신설했다. 이듬해 4월에는 시행령 개정을 통해 총자산 10조 원 이상, 상시 종업원수가 1천명 이상인 금융회사는 CISO가 다른 업무를 겸직하지 않도록 구체화 했다.

미래창조과학부도 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)'을 개정해 2014년 11월 말부터 CISO 지정 신고제를 시행하고 있다. CISO는 임원급으로 지정해야 하고, 90일 이내에 미래부에 신고하도록 했다.

◇ 금융사 CISO 지정 현황 보니 겸직 여전

금융회사들은 정보기술부문 관리자를 CISO와 CIO(최고정보관리책임자)로 분리하는 추세지만 여전히 겸직 중인 곳은 남아있었다.

지난 25일을 기준으로 37개 주요 금융회사의 정보관리자 실태를 조사한 결과 CISO가 CIO를 겸직중인 곳은 비씨카드, 하나카드, 우리카드, 롯데손해보험, 농협손해보험, 흥국화재, MG손해보험 등 7개사로 나타났다. 5개사 중 1개 꼴이다.

CISO가 CIO를 겸직중인 회사는 카드와 보험업권에 쏠렸다. 비씨카드와 하나카드, 우리카드 등 3곳은 회사규모가 작다는 이유로 관리자를 1명씩 두고 있다.

반면 2014년 초 개인정보 유출사고로 곤욕을 치뤘던 KB국민카드와 롯데카드는 CIO와 CISO를 분리해 눈길을 끌었다.

또 롯데손해보험과 농협손해보험, 흥국화재, MG손해보험 등 4개사는 CISO가 CIO를 겸직하고 있다. 이들 회사는 직전 사업연도 총자산이 10조 원을 밑돌았다. 다만 롯데손보와 흥국화재는 상시 종업원수가 지난해 9월말을 기준으로 1천명이 넘었다.

같은 임원이라고 해도 직급은 달랐다. 동부화재 손성구 팀장과 메리츠화재 정영상 담당은 회사에서 임원급이라고 하지만 직급은 팀장과 부장이었다.

메리츠종금증권의 경우 김상복 부장은 임원이 아니다.

[소비자가만드는신문=윤주애 기자]