최근 금융회사 최고정보보호책임자(CISO)와 최고정보책임자(CIO)의 겸직을 금지하는 전자금융거래법 개정안이 국회 정무위원회에 상정된 가운데 여전히 겸직하는 기업이 많아 개인정보 보호에 걸림돌이 되고 있다.
CIO는 회사가 보유한 정보를 활용해 사업전략을 구상하고 CISO는 회사의 정보보안과 관리를 책임지는 역할로 서로를 견제해야 하는 만큼 한 사람이 두 직책을 겸하는 것은 모순이라는 지적이 꾸준히 제기돼 왔다.
4일 금융권에 따르면 지난 1월 고객정보 유출 사고가 발생한 KB국민카드, 롯데카드, NH농협카드 3사 중 KB국민카드의 경우 아직 전임 CISO에 대한 후속인가가 이뤄지지 않은 상태다.
개인정보 유출사고 전까지 신용채 전 상무가 CISO와 CIO를 겸직하다가 지난 2월 사퇴한 이후 리스크관리 담당 임원이 CISO를 겸직하고 있다.
KB국민카드 CIO는 지주 CIO인 김재열 전무가 겸직하고 있다. 김재열 전무는 최근 금감원의 금융기관 검사 결과 중징계를 통보받았다.
NH농협은행은 지난 3월 남승우 전 신한카드 IT본부장을 CISO로 신규 영입했으며 롯데카드도 최동근 전 롯데정보통신 이사를 CISO로 선임했다. 정보유출 카드사는 아니지만 신한카드는 지난달 25일 임석재 전 신한은행 ICT 기획부 부장을 CISO로 선임했다.
현재 전자금융거래법 시행령에 따르면 총자산 2조원 이상이면서 종업원 수가 300명 이상인 회사는 CISO를 임원으로 별도 지정토록 하고 있으나 금융당국의 승인을 받으면 CIO가 CISO를 겸직할 수 있는 법적 근거가 있다.
한국은행에 따르면 지난해 말 국내 148개 금융사(은행 18곳, 금융투자업자 83곳, 보험사 41곳, 카드사 6곳)의 금융 정보보호 관리 인원은 574명으로 1년 전보다 28.4% 늘었다.
또 CISO를 두고 있는 금융사는 126곳(85.1%)이었지만 대부분이 CIO가 CISO를 겸직하고 있었다. CISO를 별도로 두고 있는 금융사는 19.8%에 불과했다. 카드사가 33.3%로 가장 높았고 은행이 22.2%, 보험사가 10.8%로 나타났다.