개인정보 유출 잇따르자…금융권, 정보보호조직 격상 움직임

은행·카드업계, 대다수 CISO·CPO 겸직

당국, 보안 관련 규제 강화 방침…IT기업은 분리 추세

[사진=픽사베이]

연말 인사를 앞두고 금융권이 정보보호 조직 재편에 나설 것으로 보인다. 잇따른 금융권 개인정보 유출 사고와 금융당국의 보안 관련 규제 강화 기조로 인해, 내부 보안 책임 체계를 강화하려는 움직임이 확산되고 있다. 

23일 금융권에 따르면 금융사가 올해 말 인사와 조직개편에서 정보보호총괄(CISO·최고정보보호책임자) 조직의 독립성과 의사결정권을 강화하는 방안을 검토하고 있다. 연말 임원 인사에서는 CISO 직급 상향이나 개인정보보호책임자(CPO)와의 겸직 해소가 논의되고 있다. 

CISO는 해킹·데이터 유출·사이버 공격 대응과 함께 보안 정책과 시스템 수립·관리를 책임진다. 반면 CPO는 개인정보의 수집·이용·보관·파기 전 과정을 관리하며 개인정보보호법 준수 여부를 점검한다. 통상 CISO는 기술 전문가, CPO는 법률·준법 전문가가 맡는다. 다만 비용과 인력 문제로 많은 금융사가 임원 한 명에게 두 역할을 동시에 맡기고 있다. 현행법상 CISO와 CPO의 겸직은 불법이 아니다. 

그러나 최근 롯데카드의 대규모 개인 정보 유출 사태 이후 금융당국이 금융사 CISO를 소집해 보안 대응책을 점검했고, 정부도 보안사고 발생 시 최고경영자(CEO)에게 책임을 묻는 법 개정을 추진 중이다. 이에 따라 개인정보 침해에 대한 규제 강도가 높아지면서 금융권에서도 조직 개편 논의가 활발해지는 모습이다. 
 

아직까지 현실적으로 금융권의 보안조직은 대부분 겸직 체계에 머물러 있다. 4대 시중은행(KB국민·신한·하나·우리)과 8개 전업 카드사(신한·삼성·현대·KB국민·롯데·하나·우리·BC) 가운데 전임 CISO를 둔 곳은 없다. 직급도 대다수가 상무급에 불과하다.

반면 IT기업 등은 점차 분리 체계를 강화하는 추세다. SK텔레콤·네이버클라우드·카카오 등은 CISO와 CPO 분리했다. 특히 SK텔레콤은 올해 해킹 사고 이후 CISO와 CPO를 분리하고, 변호사 출신 차호범 AI거버넌스팀장을 CPO로 신규 선임해 임원으로 승진시켰다.

금융권 관계자는 "CEO 책임 강화 기조 아래 금융권의 보안조직 재편은 불가피하다"며 "CISO의 독립성과 위상이 실질적으로 높아지지 않으면, 보안 강화 정책도 형식에 그칠 수 있다"고 말했다.