정보책임 임원 둔 금융사,
30%에 불과

• 

  ▲ 개인정보범죄 정부합동수사단 관계자들이 개인정보 유출 상황을 모니터링하는 모습. ⓒ 연합뉴스

  
  국내 주요 금융사들의 절반 이상이 임원급 정보보호최고책임자(CISO : Chief Information Security Officer)를 두고 있지 않는 것으로 나타났다. 

연이어 터지는 개인정보 유출 사건으로 금융소비자들이 불안해하고 있는 상황에서, 금융사들이 아직 사태의 심각성을 인지하지 못하고 있다는 비난을 피하기 어려워 보인다.

13일 기업 경영성과 평가사이트 CEO스코어가 금융지주·은행·보험·카드·증권 등을 망라한 국내 50개 대형 금융사의 3월말 현재 CISO 현황을 조사한 결과 CISO 임원을 두고 있는 곳은 28%인 14곳에 불과한 것으로 조사됐다.

나머지 36개 금융사 중 23개 사는 임원이 CIO(Chief Information Officer)와 CISO를 겸직하고 있고, 7개사는 부장급 직원이 양쪽 업무를 겸직하고 있는 것으로 조사됐다. 나머지 5개사는 임원이 아닌 부장급이 CISO로 선임돼 있었다. CIO는 최고정보관리책임자로, 정보기술 및 시스템을 총괄 담당하는 직책이다. 개인정보보호와는 관계없다.

최근 국민·롯데·NH카드의 개인정보 유출사고 등 초대형 고객정보 유출사태가 빈발하고 있음에도 금융사들은 여전히 개인정보보호 문제에 안일하게 대처하고 있는 셈이다. 

업종별로 분류하면, 비교적 CISO의 규정을 가장 충실히 지키고 있는 업계는 카드업계였다.

8개 전업카드사 중 우리카드와 BC카드를 제외한 모든 회사는 임원급 CISO를 두고 있었다. 해당 업체는 신한카드와 KB국민카드·롯데카드·삼성카드·하나SK카드·현대카드 등 6개사다. 

다음으로는 증권사가 10개사 중 4곳으로 많았다. KDB대우증권과 메리츠종금증권, 미래에셋증권, 하나대투증권 등 4개사가 임원급 CISO를 선임했다.

9개 손보사 중에선 삼성화재보험과 한화손해보험 등 2곳, 5개 금융지주사와 9개 은행 중에선 우리금융지주와 국민은행 등 각 1곳씩만 규정을 충족했다. 반면 생보사 중에서는 전임 CISO 임원을 둔 곳이 단 한 곳도 없었다. 

CISO를 임원이 아닌 그 이하 직급으로 두고 있는 곳은 농협금융지주와 신한금융지주, 신한은행, 기업은행, 우리투자증권 등 5곳이었다.

CISO가 임원이지만 CIO 역할까지 겸직하고 있는 곳은 KB금융지주와 교보생명·한화생명·동양생명·미래에셋생명·삼성생명·알리안츠생명·LIG손해보험·동부화재해상·롯데손보·메리츠화재해상· 현대해상화재·흥국화재해상·하나은행·농협·SC은행·대신증권·한국투자증권·BC카드·우리카드 등 23개에 달했다. 

임원도 아닌 CISO가 CIO까지 겸직하고 있는 곳은 농협생명·농협손보·우리은행·외환은행·삼성증권·신한금융투자·현대증권 등 7곳이었다.

현행 상법(상법 제401조의2 제①항 제3호)은 '기업공시서식 작성기준'에 따른 공시의무와 전자금융거래법에 의거, 종업원 수가 300명 이상인 금융회사는 CISO를 임원으로 임명하도록 하고 있다.

임원이 아닌 자가 CISO 업무를 맡고 있는 금융사는 현행법을 위반하고 있는 셈이다.

4월 국회에서 CISO와 CIO의 겸직을 금지하는 전자금융거래법 개정안을 통과시킬 경우 CISO 자리가 공석상태인 31개 금융사가 담당자를 새롭게 찾아야 한다. 

박주근 CEO스코어 대표는 "고객정보 유출로 인한 피해가 갈수록 커지고 있지만 금융권의 대처가 아직도 안일한 수준"이라며 "CISO를 포함한 금융 정보 보안대책을 강화해야 한다"고 말했다