CIO·CISO 겸직금지법안 國본회의 상정

보험사 대부분 전문가 못 구하고 겸직 중

<대한금융신문=염희선 기자>금융사의 정보보호최고책임자(CISO)와 최고정보책임자(CIO)의 겸직을 금지하는 법안이 최근 국회 본회의에 상정됐다.

전문가들은 카드사 정보유출 등으로 고객개인정보보호 강화를 위한 사회적 합의가 이뤄짐에 따라 법안 통과는 큰 무리 없이 진행될 것으로 예측했다.

따라서 CISO와 CIO를 대부분 겸직해 운영하고 있는 보험사들의 빠른 대처가 필요하다는 지적이다.

지난 15일 정무위원회는 CISO와 CIO의 겸직을 금지하는 내용을 담은 ‘전자금융거래법 일부개정법률안(대안)’을 국회 본회의에 상정했다.

안에 따르면 총자산과 종업원 수가 일정 규모 이상인 대형 금융회사나 전자금융사업자의 CISO는 다른 업무를 겸직할 수 없게 된다. 구체적으로는 CIO와의 겸직을 막아 정보기술부문 보안의 독립성과 책임성을 확보하겠다는 것이다.

참고로 금융사에서 CIO는 회사정보를 활용해 사업전략을 짜는 역할을 하고 CISO는 회사정보의 보안을 책임지고 있기 때문에 서로를 견제하는 역할을 한다. 따라서 한사람이 겸직하는 것은 모순이라는 지적이 지속해서 제기돼 왔다.

문제는 국내 보험사 대부분이 CISO와 CIO를 한사람이 겸직하는 방식으로 운영하고 있다는 것이다.

실제 생보사 빅3인 삼성생명, 한화생명, 교보생명은 각각 최병수 전무, 이준노 상무, 김준호 전무가 각각 CISO와 CIO를 겸직하고 있다. 농협생명도 배문하 본부장이 CISO와 CIO를 함께 맡고 있다.

손보사도 사정은 비슷하다. 현대해상 최철식 상무, 동부화재 이근교 상무, LIG손보 김형직 상무, 농협손보 계세경 단장 등도 두 업무를 겸직하고 있다.

삼성화재와 신한생명 정도만이 CISO와 CIO를 분리 선임하고 있다.

업계 관계자는 “보험사들이 CISO 임명 기준을 만족하는 사람을 찾지 못해 CIO와 겸직상태로 차일피일 미뤄온 것이 사실”이라며 “본회의 통과 이후 금세 법이 공포될텐데 업무능력을 갖춘 CISO를 구하지 못해 문제가 될 가능성이 크다”라고 밝혔다.

한편 보험사 측은 CISO 독립 선임의 어려움을 호소하고 있다. 까다로운 선임 규정 때문에 선임이 힘들다는 것이다.

법규상 CISO는 △8년 이상 정보보호 분야 업무나 10년 이상 IT분야 업무를 수행한 경력이 있는 사람 △학사 학위를 받고 5년 이상 관련 분야 업무를 수행한 경력이 있는 사람 등을 선임토록 하고 있다.

보험사 한 관계자는 “CISO의 경우 내부 인사를 찾기는 힘들고 외부 인사를 임원급으로 선임해야 하는데 쉽지 않은 것이 현실”이라며 “법이 공포돼 어쩔 수 없이 선임하다 보면 면피용 인사 선임이 이어질 수도 있다”고 전했다.

이어 “금융당국과 보험사, IT전문가들의 충분한 시간을 갖고 논의해 고객정보보호의 적임자가 CISO로 독립 선임될 수 있는 방안을 찾아야 한다”라고 덧붙였다.

저작권자 © 대한금융신문 무단전재 및 재배포 금지