지난해 잇단 보안사고로 금융권 최고정보보호책임자(CSO) 지정이 법제화됐지만 실제 임명을 위한 금융권 움직임은 더뎌 보인다. 오는 5월부터 개정된 전자금융거래법이 시행을 앞두고 있음에도 불구하고 CSO임명 의무화 규정 관련 시행령에 후속조치나 처벌규정이 명시화돼 있지 않은 상황이다.
지난해 11월 금융당국은 전자금융거래법을 개정하면서 CSO 지정 규정을 집어넣었다. 총자산 규모 2조원 이상이면서 종업원 수가 300명 이상인 금융회사는 CSO를 임원으로 지정하도록 했다. 현대캐피탈, 농협 등 보안사고 홍역을 치른 당국이 문제점을 개선하기 위해 보안규정을 강화하고 나선 것이다.
사실 금융당국의 보안강화 행보는 이번이 처음은 아니다. 지난 2009년부터 CSO 별도 지정을 권장해왔다. 그렇지만 현재 많은 금융회사들은 최고정보관리책임자(CIO)가 CSO겸직을 수행하도록 하고 있는 실정이다.
관련업계 한 관계자는 “대형 금융보안 사고가 발생하면서 그나마 몇몇 금융사가 CSO 임명을 서두르긴 했지만 실질적인 결정권이 없는 담당자들이 많아서 환경적 변화가 있을지 의문”이라고 지적했다.
그는 이어 “금융감독원이 IT경영실적 평가 항목에 CSO 임명 여부 평가항목을 반영하겠다는 뜻까지 이미 밝힌 바 있었지만 처벌항목도 구체적으로 제시되지 않아 법 시행이 얼마나 효과가 있을지 모르겠다”고 지적했다.
■허울뿐인 규제...CSO 임명 안해도 처벌조항 없어
이처럼 법 시행 관련 후속조치나 처벌규정이 마련되지 않아 실제 개선으로 이어지지 못할 것이라는 의견이 금융권 일각에서 나오고 있다. 현재 시행령 항목 중 CSO를 임명하지 않을 경우 제재 조치에 대한 조항이 없기 때문이다. 시행령에서도 CSO 자격요건과 사고 발생시 책임소재와 관련해서만 명시하고 있다.
이와 관련해 금융감독원 관계자는 “법 상에서 모든 처벌규정을 나열하지는 않았지만 단계적으로 이를 제재할 수 있도록 하고 있다”면서 “감사과정에서 임명규정을 어길 시에는 검사역이 시정요구나 수정 명령을 하도록 하고 있어 개선할 수 있도록 장려하고 있다”고 말했다.
그러나 허울뿐인 규제가 될 수 있다는 논란은 쉽게 사그라들지 않을 것으로 보인다. 임명뿐 아니라 사고 발생 시 처벌 규정도 마찬가지 상황이다.
한 보안업계 관계자는 “실제로 보안사고가 발생하면 책임소재를 묻기가 어려운 것이 보안사고 특징이기 때문에 실제 관련사고 발생 시 처벌규정 자체를 정하는 것도 애매하다”면서 “이 때문에 제재 조치에 대한 필요성이 제기되고 있는 것인데 책임소재 여부를 가리기가 어렵다 보니 CSO 임명이나 관련 규정에 대해 논란만 일고 있다”고 말했다.
관련기사
- [2011결산]연쇄 해킹 보안대란, '공포의 2011년'2012.01.19
- 최악의 보안사고 농협, 보안강화위해 CSO임명2012.01.19
- 현대캐피탈, 안랩출신 CSO영입…전격 보안강화2012.01.19
- 농협사태 그 후…끝나지 않은 이야기2012.01.19
또다른 보안업체의 한 고위급 임원은 “실제 CSO가 보안 업무를 담당하게 되면 보안체계가 더욱 견고해 질 수 있는 것이 사실”이라면서 “금융회사 내 대부분의 결정권자들이 보안에 대해 제대로 이해하지 못하고 있는 경우가 많기 때문에 보안 시스템을 구성하는 작업을 진행할 때도 커뮤니케이션에도 어려움이 많이 발생한다”고 하소연했다.
한편 현재 전자금융거래법 일부개정법률안은 정무위원회 심사가 진행 중에 있다. 법제처 심사를 거친 다음 오는 5월 15일 정식 시행될 예정이다.
