[프라임경제] 기업 정보보안을 위해 최고정보책임자와 최고정보보호책임자의 겸직을 금지하는 전자금융거래법 개정안이 상정된 후에도 여전히 겸직하는 기업이 많은 것으로 조사됐습니다. 

최고정보책임자(이하 CIO)는 회사가 보유한 정보를 활용해 사업전략을 구상하고 최고정보보호책임자(이하 CISO)는 회사의 정보보안과 관리를 책임지는 역할로 서로를 견제하는데요. 이런 만큼 한 사람이 두 직책을 겸하는 것은 모순이라는 지적이 지속해서 제기됐었죠.

이에 대해 업계 관계자들은 CISO의 경우 조건에 부합하는 인물을 사내에서 찾기 어렵다는 점과 함께 외부 인사를 선임할 경우 임원급으로 선임해야 하는 문제가 겹쳐 이래저래 곤란한 상황이라며 토로한 바 있는데요.

이런 가운데 며칠 전 기업 경영성과 평가사이트 CEO스코어가 금융사의 CISO 현황을 발표하며 CIO, CISO 선임 문제가 다시 수면 위로 올라왔습니다.

이 사이트가 지난 23일 △금융지주 4곳 △시중은행 9곳 △생명·손해보험 각 9곳 △카드 8곳 △증권 10곳, 국내 40개 주요 금융사의 CISO 현황을 조사한 결과, 전담자를 선임하지 않은 금융사는 16곳(32.7%)에 달했는데요.

이런 가운데 비씨카드와 우리카드는 전담 CISO가 없다고 기사가 나와 상황이 난처해졌습니다. 이에 대해 두 카드사는 전담이 아닌 CIO와 CISO를 '겸직'할 뿐이라며 법적으로는 전혀 문제되지 않는다고 맞섰죠.

우리카드 관계자는 "현재 이은석 상무가 CIO와 CISO를 겸직 중일 뿐 규정에 어긋나지 않는다"고 목소리를 높였습니다.

이어 "법률상 오는 4월16일부터 분리 임명해야 하기 때문에 이 상무가 계속 역임할 경우에도 겸직은 가능하다"며 "현재 반드시 분리할 생각은 없다"고 덧붙였는데요.

그의 말은 오는 4월16일부터 전자금융거래법에 따라 CIO와 CISO를 분리 임명하면 되기 때문에 그 전에 이미 두 직무를 수행하고 있을 경우에는 이어서 겸직을 하더라도 문제될 게 없다는 것입니다.

아울러 그는 "CIO와 CISO는 정보유출 사건이 터지고 난 후 후속 대책으로 이슈가 된 사안"이라며 전담 선임에 대해 별다른 후속조치는 없다고 전했습니다.

BC카드도 같은 입장입니다. 금융당국의 가이드라인을 잘 따라가고 있을 뿐 현재 전담이 꼭 필요한 상황이 아니라는 겁니다.

BC카드 관계자는 "향후 선임에 대해서는 금융당국의 가이드에 따라 분리가 필요하다면 분리 선임하겠지만 현재 BC카드 자체 방침에 따라 CISO를 분리할 계획은 없다"고 뜻을 분명히 했습니다.

여기 보태 "겸직과 모순의 사이에서 무엇보다 중요한건 금융당국의 정책"이라며 "적법하게 이를 준수하고 있다"고 첨언했습니다.  

특히 이와 관련해 고객정보 유출로 곤혹을 겪은 KB국민카드는 CIO와 CISO 선임을 두고 노조와 마찰을 빚은 바 있습니다. 당시 리스크관리 담당 임원이 CISO를 겸직하고 김재열 전무가 카드사 CIO와 지주사 CIO를 동시에 담당해 논란이 됐는데요, 현재 이 카드사는 각각의 전담 CIO, CISO를 두고 있습니다.

이런 상황에서 금융당국은 IT·금융 융합 지원을 통한 핀테크(fintech·정보기술과 금융의 융합) 산업활성화를 위해 사전심사를 철폐하고 공인인증서 사용의무를 폐지하는 등 규제를 최소화한다는 방침을 내놨습니다.  

이에 대해 전문가들은 금융사고 가능성을 차단, 금융소비자들의 불안감을 덜어줄 수 있는 대비책이 우선적으로 마련돼야 한다고 지적했는데요. 금융 보안의 필요성이 어느 때보다 대두되는 상황에서 전담 정보책임자도 없는 기업들이 과연 핀테크, 즉 기술 금융을 선도할 자질은 갖추고 있는 것일까요?

외양간 고치기 위해 소 잃기를 기다리는 것은 아닌지 심히 걱정스럽습니다.