보험사 대부분 CIO·CISO 겸직‥개인정보 관리취약

국내 보험사 대부분이 최고정보책임자(CIO)와 정보보호최고책임자(CISO)를 겸직하고 있어, 개인정보 관리가 취약한 것으로 드러났습니다.
최고정보책임자(CIO)는 회사의 정보기술과 시스템의 총 책임자로 정보기술을 활용해 사업전략을 짜는 관리자입니다.
정보보호최고책임자(CISO)는 회사가 보유한 정보의 보안을 책임지고 관리하는 사람으로 CIO가 개인정보를 사업에 독단적으로 활용할 수 없도록 견제하는 역할도 수행합니다.
전자금융거래법 시행령에 따르면 자산이 2조원를 넘고, 임직원이 3백명 이상인 금융회사는 정보기술부문 보안을 총괄하여 책임질 정보보호최고책임자(CISO)를 반드시 두도록 되어 있습니다.
하지만 CIO와 CISO를 한 사람이 겸직하게 되면 업무상 경계가 모호해지고 정보기술 활용에 있어서 이해관계가 충돌하면 보안보다 효율성을 우선시해 보안이 약화될 우려가 있습니다.
금융당국도 지난해 7월 `금융전산 보안강화 종합대책`을 발표하면서 이같은 문제점을 지적한 바 있습니다.
그런데 자산이 10조원 이상인 국내보험사 중에는 삼성화재와 신한생명만이 CIO와 CISO 담당을 따로 두고 있고, 삼성생명이나 한화생명, 현대해상 등 상위 보험사들은 모두 한 사람이 겸직을 하고 있었습니다.

실제로 고객정보 유출사고를 낸 KB국민카드, 롯데카드, NH농협카드 3개 회사는 모두 CIO와 CISO가 겸직을 하고 있었습니다.
신한카드나 삼성카드, 현대카드, 하나SK카드 등은 모두 CIO와 CISO 담당 임원이 따로 있었습니다.
공교롭게도 CIO와 CISO를 겸직하고 있는 회사에서 고객정보 유출사고가 발생하자, CISO를 전임으로 두어야한다는 목소리가 높아지고 있습니다.
금감원 관계자는 "CISO가 CIO를 견제하는 역할을 하는데, 겸직하게 되면 정보보호가 취약해지는 등 부작용이 발생할 우려가 크다"고 지적했습니다.
금융사들도 전임 CISO의 필요성은 느끼지만 현실적으로 쉽지 않다고 이야기 합니다.
한 금융사 관계자는 "정보보호최고책임자를 선임하려해도 자격기준이 너무 까다로워, 기준에 맞는 임원을 찾는게 너무 어렵다"고 밝혔습니다.
법규상 CISO는 `8년 이상 정보보호 분야 업무나 10년 이상 IT분야 업무를 수행한 경력이 있는 사람`이거나, `학사학위를 받고 5년 이상 관련 분야 업무를 수행한 경력이 있는 사람` 등 까다로운 규정을 충족시킨 사람만 선임이 가능합니다.
한편, 금융위원회는 지난해 발표한 `보안강화 종합대책`에 따라 자산 10조 이상, 임직원 1천500명 이상인 금융사는 CIO와 CISO를 겸직할 수 없도록 올해 안으로 법 개정을 추진하고 있는 것으로 알려졌습니다.