CIO-CISO 겸직 여전…별도 임원선임 지지부진개인정보 관리 취약 부작용 우려


  • 국내 보험사인 삼성생명, LIG손보 등의 정보보안관리가 허술한 것으로 드러났다. 이들 회사는 별도로 운영되어야 할 최고정보책임자(CIO)와 정보보호최고책임자(CISO)를 여전히 겸직으로 운영 중이다. 


    최고정보책임자(CIO)는 회사가 보유한 정보를 활용해 사업전략을 구상하는 관리자이고, 정보보호최고책임자(CISO)는 CIO가 개인정보를 사업에 독단적으로 활용할 수 없도록 견제하는 회사의 정보보안을 책임지는 역할이다.

    따라서 한 사람이 두 직책을 겸할 경우 CIO 견제라는 CISO의 역할이 사실상 불가능하다. 이에 정보보호가 취약해 지는 등 부작용이 발생할 수 있다. 


    연초 카드사 정보유출 사고가 터진 후 정보보호에 대한 중요성이 커지면서 CIO와 CISO를 분리해야 한다는 지적이 꾸준히 제기됐다.

    실제로 국회는 지난 2월 CIO와 CISO 겸직을 금하는 내용이 담긴 전자금융거래법 개정안을 발의했고, 금융당국도 같은 내용을 금융권에 권고했다. 전자금융거래법 개정안이 정무위원회를 통과해 올 하반기 시행될 경우 CISO와 CIO 겸직이 전면 금지된다.

    19일 금융권에 따르면 생명보험사 중에서는 삼성생명과 한화생명 등이, 손해보험사 중에서는 현대해상, 동부화재, LIG손보, 메리츠화재 등이 아직도 CIO와 CISO를 한 사람이 겸임하고 있다. 

    교보생명과 NH농협생명, 동양생명의 경우 현재 별도로 CISO를 두고 있다. 

    교보생명은 지난 6월 CIO로 김욱 상무를 임명하고, 기존에 겸직하던 김준호 전무는 CISO 업무만 맡고 있다.

    NH농협생명도 CISO로 배문하 부본부장을 임명하고, 기존에 겸직하던 홍경수 본부장은 CIO 역할만 한다.

    동양생명 역시 박승수 이사를 CISO로 임명했다. 겸직하던 박재용 이사는 CIO 업무만 본다.

    이에 대해 한 보험사 관계자는 "간단하게 임원 한명 데려온다고 되는 것이 아니라 조직 개편 등 부수적인 작업도 필요하기 때문에 시간이 필요하다"고 해명했다.

    또 다른 보험사 관계자는 "겸직 전면 금지가 결정되기 까지 기간이 남아 있다"며 "적절한 검토를 통해 규정에 어긋남 없이 조만간 분리할 예정"이라고 밝혔다.

    금융권 관계자는 "연초 정보유출로 한바탕 홍역을 치룬 뒤 금융 보안 전문가 영입에 열을 올리고 있는 카드사와 달리 몇몇 보험사는 아직도 지지부진한 모양새"라며 "최근 개인정보 보호가 대두되고 있는 만큼 서둘러 관련 전문가를 영입해야 한다"고 지적했다.