카드사는 대부분 정보기술부문·개인정보보호부문 담당이 CISO를 겸직하고 있고 캐피탈사는 IT부문 임원이나 준법감시인이 CISO를 겸직하고 있다. 여신전문금융회사 CISO는 해킹·데이터 유출 등의 사이버 공격에 대응하고 보안 정책 수립과 시스템 관리 역할을 맡고 있다.
25일 각 사에 따르면 13개 여신전문금융회사(여전사)는 모두 전담 CISO가 아닌 겸직 형태로 운영되고 있는 것으로 나타났다.
전자금융거래법 규정상 금융회사는 직전 사업연도 총자산이 2조 원 이상이고 상시 근로 종업원 수가 300명 이상이면 CISO를 임원으로 선임해야 한다.
지난해 종업원 수가 282명인 신한캐피탈을 제외한 12곳의 여전사는 CISO를 임원으로 선임해야 한다는 의미다.
신한카드는 남훈 정보보호본부장이 개인정보보호책임자와 CISO를 겸하고 있다.
KB국민카드는 박규하 정보보호본부장, 삼성카드는 손영설 정보보안담당 상무, 현대카드 장선영 정보보안실장, 롯데카드 최용혁 정보보호실장 상무, 우리카드 전우영 정보보호본부 상무대우, 하나카드 안중근 개인정보보호부장, BC카드 강대일 정보보호그룹장 상무 등이 CISO를 겸직한다.
현대캐피탈, KB캐피탈, 우리금융캐피탈, 하나캐피탈, 신한캐피탈 등 주요 캐피탈사 5곳도 IT부문 임원 혹은 준법감시인이 CISO를 겸직하고 있다.
현대캐피탈은 정덕은 정보보안실장, KB캐피탈 이배봉 IT부문 부사장, 우리금융캐피탈 디지털 IT본부 김국현 본부장, 하나캐피탈 이규만 디지털혁신본부장, 신한캐피탈 조경진 정보보호부장 등이다.
현행 전자금융거래법과 정보통신망법에 정보보호책임자가 정보기술부문의 보호 등 다른 부문을 겸직할 수 있는 예외조항을 두고 있어 법 위반은 아니다. 하지만 최근 롯데카드 해킹 사태에서 드러나듯이 고객의 민감한 개인 정보를 보유하고 있는 만큼 관련 체계를 서둘러 정비할 필요가 있다는 지적이 나오고 있다.
전자금융거래법 제21조2(정보보호최고책임자의 지정) 3항에는 총자산, 종업원 수 등을 감안해 대통령령으로 정하는 금융회사는 제4항의 업무 외의 다른 정보기술부문 업무를 겸직할 수 없다고 나와 있다.
겸직이 가능한 4항의 내용은 ▲전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립 ▲정보기술부문의 보호 ▲정보기술부문의 보안에 필요한 인력관리 및 예산편성 ▲전자금융거래의 사고 예방 및 조치 등이다.
또 정보통신망법 제45조3(정보보호 최고책임자의 지정 등) 3항에는 정보보호 최고책임자가 ▲정보보호 공시에 관한 업무 ▲정보보호책임자의 업무 ▲개인정보 보호책임자의 업무 등을 겸할 수 있다고 나와 있다.
업계 한 관계자는 “정보통신망법, 전자금융거래법에 따라 CISO의 일부 업무 겸직이 문제가 되진 않지만 최근 해킹 사태로 우려가 커진 만큼 금융사의 정보보호 체계 재정비를 고려할 필요가 있다”고 말했다.
[소비자가만드는신문=이은서 기자]
