지난해 연이은 금융권 보안사고로 임명된 일부 금융권 정보보호최고책임자(CSO)들이 교체위기에 처했다. 5월부터 개정되는 전자금융거래법의 CSO임명 의무화 규정 시행령에 명시된 금융권 보안 수장들의 자격요건 때문이다.
금융당국이 지난해 연말 전자금융거래법을 개정하면서 CSO들의 자격요건을 명시했다. CSO는 학사학위를 반드시 취득해야 하며 2년 이상 정보보호 경력이나 3년 이상의 정보기술 경력이 있는 사람에 한해 임명 가능하다. 관련 학사학위가 없을 경우에는 학사학위에 4년 이상 정보보호 경력 또는 5년 이상의 정보기술 경력 요구를 충족해야 임무를 수행할 수 있다.
3일 관련업계에 따르면, 현재 내부 임시방편이나 최고경영자(CEO) 직속에 두고 단순 보여주기식의 임시조치를 해둔 곳도 많아 시행령이 본격적으로 적용되면 파장이 적지 않을 것으로 전망했다.
현재 임명된 몇몇 담당자조차도 자격요건에 맞지 않거나 최고정보관리책임자(CIO)가 보안관련 업무를 겸직하는 경우가 많아 대거 교체나 재임명은 불가피할 것으로 보인다.
금융권 한 관계자는 “현재 CSO로 임명 자격요건에 맞는 보안 전문가들이 부족한데다 한정된 보안 전문가들 가운데 적합한 인력을 채용할 수 있을지 우려된다”면서 “금융권 내부적으로 자격요건을 판단해 선발할 수 있는 준비가 안된 곳도 많다”고 말했다.
금융당국은 이미 지난 2009년부터 CSO 별도 지정을 꾸준히 권장해왔다. 그러나 실질적인 효과를 거두지 못한 것이 현실이다. 현재도 일부 금융사에서만 CSO를 임명했으며 대부분은 겸직을 맡고 있다.
또한 그나마 지정된 금융사들의 경우도 실질적인 권한은 없어 제대로 된 보안 수장의 역할을 수행하지 못하고 있는 것이 현실이다.
관련기사
- 국내 기업 CSO 현실, 이래서야...2012.02.03
- CSO 임명, 거북이 걸음인 이유는?2012.02.03
- 최악의 보안사고 농협, 보안강화위해 CSO임명2012.02.03
- 현대캐피탈, 안랩출신 CSO영입…전격 보안강화2012.02.03
지난해 개인정보 유출사건으로 인해 CSO를 임명해 회사 내 보안 전담기구를 확대 개편한 현대캐피탈의 경우는 안철수연구소 출신의 보안전문가를 영입해 보안업무를 담당하도록 조치했다. 또한 사상초유의 금융보안사고로 홍역을 치룬 농협중앙회도 내부 IT관련 부서에서 오래 근무한 전문가를 임명했다.
농협중앙회 한 관계자는 “자격요건이 명시되기 전에 먼저 임명됐지만 자사 IT관련 부서에서 오랜 기간 근무하면서 풍부한 실무경험을 가진 전문가를 선발해 별다른 문제가 있을 것으로 판단되지는 않는다”고 말했다.
