카드사를 통한 사상 최대 개인정보 유출사태 이후, 카드를 재발급받으려는 시민이 비밀번호를 입력하고 있다.<사진=뉴시스>

정보보호최고책임자(Chief Information Security Officer, CISO)는 기업의 정보보안을 위한 기술적 대책과 법률대응까지 총괄책임을 지는 최고임원을 지칭한다. 

 

예산 등의 문제로 우리나라 금융기관에서는 최고정보책임자(Chief Information Officer, CIO)가 CISO를 겸임하는 경우가 많은데, 최근 카드사의 고객정보 유출로 CISO 독립의 중요성이 다시 강조되고 있다. 기본적으로 CIO는 시스템 개발과 운영에, CISO는 보안통제에 우선순위를 두는 경우가 많아 양자 간에 가치의 충돌이 발생할 수 있다는 것이다. 

 

지난해 5월22일 개정된 전자금융거래법은 총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사 또는 전자금융업자는 CISO를 임원으로 지정해야 한다고 규정하고 있다. ▲전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획 수립 ▲정보기술부문의 보호 및 관리 ▲정보기술부문의 보안에 필요한 인력관리 및 예산편성 ▲전자금융거래의 사고 예방 및 조치 ▲그 밖에 대통령령으로 정하는 사항 등이 그 역할이다. CISO의 자격요건은 같은 시행령 별표로 규정하고 있다.

 

최근 고객정보 유출사태 이후 금융당국은 금융사의 CIO와 CISO 겸직을 금지하는 행정지도에 나서겠다고 밝혔다. 이를 법규화하는 전자금융거래법 개정안 국회 상정까지 시일이 많이 소요되는 만큼, 행정지도에 나서겠다는 것이다. 

 

한편 금융권에는 ‘557 규정’이 있다. 금융사 인력의 5%는 IT인력, IT 인력의 5%는 보안인력, IT예산 중 7%는 보안예산으로 하라는 권고사항이다.

<저작권자 ⓒ 중기이코노미. 무단전재 및 재배포 금지>