금융기관 CIO·CISO 겸임 금지되나

은행 등 대형 금융기관의 CIO(최고정보책임자), CISO(최고정보보호책임자) 겸임 금지, 557 규정 강화 등 금융권 보안 강화 종합대책 논의가 금융위원회 주도로 시작됐다. 금융위는 다음달 보안 종합방안을 발표할 예정으로 여기에서 금융기관 망분리도 의무화할 전망이다.

2일 금융권에 따르면 최근 금융위 주도로 열린 금융전산 보안 TFT 1차 회의에서 일정 규모 이상의 금융기관은 CIO, CISO를 별도로 두도록 하는 방안을 논의했다. 지난 2011년 농협사태 이후 금융기관 CISO 도입 제도를 강화한 내용이다.

금융 감독당국은 지난 2011년 농협 해킹 사태 이후 금융기관은 CIO외에 CISO를 지정하도록 했다. 대부분의 금융기관이 제도 도입 이후 CISO라는 직제를 별도로 마련했지만 절반 이상의 기관이 CIO가 CISO를 겸임한다. 농협 등 일부 금융기관만이 CISO를 별도로 뒀다.

금융 전산보안 TFT는 3.20 전산망 마비 사태 이후 전임 CISO 제도를 의무화하는 방안을 논의할 전망이다. 다만 일정 규모 이하의 금융기관에 대해서는 IT총괄과 보안을 분리하는 방안이 효율적이지 못하다고 보고 배제할 것으로 보인다.

■3.20 전산망 이후 금융 보안 TFT 구성

금융위는 최근 금융 IT 관련 유관기관, 금융기관 IT 담당자, 학계 교수 등으로 구성된 보안 전산 TFT를 마련했다. 지난달 30일 1차 회의가 열렸다.

이 자리에서는 ▲금융회사 내부 업무망에 대한 인터넷 차단 등 금융IT 인프라 보안 강화 ▲정보보호최고책임자(CISO) 지정 ▲위기대응 체계 개선 ▲금융IT 검사․감독 내실화 ▲IT분야 내부통제 강화 등에 대한 의견이 논의됐다.

금융위는 TFT 결과를 토대로 다음달 ‘금융전산 보안강화 종합대책’을 발표할 계획이다. 이 대책은 다음달 말경 법제화될 것으로 보인다.

논의 안건 중 내부 업무망을 인터넷망과 분리해 사용하는 것을 의무화하는 방안은 이견 없이 통과될 전망이다. 현재도 일부 금융사들이 자율적으로 업무망과 인터넷망을 분리해 운영한다.

지난 2011년 농협사태에 이어 올해 3월 20일 전산망 해킹 이후에는 망분리가 전 금융기관의 화두로 등장하며 1, 2금융권을 막론하고 관심이 높다. 의무화에 대해서도 이견은 크지 않을 전망이다.

망분리 솔루션업계 관계자는 “1, 2금융권 모두 검토가 이미 활발히 검토가 이뤄지고 있다”며 “은행, 보험, 증권, 카드 등 업종을 막론하고 확산되는 단계”라고 설명했다.

■CISO 겸임 “효율적이지 못하다”는 주장도

반면 CISO 겸임 금지, 557 규정 강화 등에 대해서는 이견이 예상된다. 현재 CIO, CISO를 분리해 운영하고 있는 금융기관은 절반이 채 되지 않는다. 농협 등 일부 금융기관을 제외하고 대형 은행도 CIO, CISO 겸임이 대세다. 농협의 경우는 CISO 직제가 별도로 돼 있지만 보안사고를 막지는 못했다.

CISO 겸임을 반대하는 금융업계의 논리는 나름의 근거가 있다. 금융업계 한 관계자는 “CIO가 보안을 담당하는 것이 오히려 효율적일 수 있다”며 “CISO가 투자 논리에서 밀리게 되면 전임이 겸임인 상황보다 보안에 취약해질 수 있다”고 강조했다. 정보보호에 대한 전 업계의 관심이 높아진 상황에서 CIO가 CISO직을 겸임하더라도 큰 무리는 없을 것이라는 전망이다.

금융위는 이같은 반발을 고려해 CIO, CISO 겸임금지 방안을 도입하더라도 이를 모든 금융기관에 적용하지는 않을 것으로 보인다. 일정 규모 이하의 금융기관의 경우는 의사결정 구조의 효율성 등을 따져 겸임을 허용할 것으로 예상된다.

TFT에서는 557 규정 강화도 논의된다. 금융기관은 전체인력의 5%를 IT인력으로 두고 이중 5%를 정보보호 인력으로, IT예산 중 7%를 정보보호에 사용하도록 했다.

관련기사

외주 인력에 대한 관리 감독 규정을 재검토하면서 557 기준을 강화할 전망이다. IT 운영의 외주 인력 활용 비중이 높은 금융이관의 영향이 예상된다.

전요섭 전자금융과 과장은 “앞으로 2개월에 걸쳐 규정을 만들 것”이라며 “업계에서 나오는 얘기들을 검토하고 있지만 논의 내용이 확정은 아니다”라고 설명했다.