제2금융권 CIO·CISO 겸직‥보안취약

입력 2014-01-29 14:26
수정 2014-01-29 17:31
<앵커>

정보유출 사고를 낸 카드사들이 최고 정보책임자와 정보보호 관리자를 한 사람이 같이 맡고 있어 고객정보 관리에 소홀했다는 지적이 있습니다.

그런데 카드사 뿐만 아니라 대부분의 국내 보험사들도 겸직을 맡고 있어, 정보 보안관리가 취약한 것으로 드러났습니다.

자세한 소식 홍헌표 기자 연결해 들어보겠습니다.

<기자>

국내 보험사들이 최고정보책임자인 CIO와 정보보호책임자인 CISO를 같이 맡고 있었습니다.

CIO는 회사의 정보기술을 활용해 사업전략을 짜는 관리자이고, CISO는 CIO가 개인정보를 사업에 독단적으로 활용할 수 없도록 견제하는 사람입니다.

전자금융거래법 시행령에 따르면 자산이 2조원를 넘고, 임직원이 3백명 이상인 금융사는 CISO를 반드시 두어야 합니다.

하지만 CIO와 CISO를 한 사람이 맡으면 정보기술을 활용할 때 보안보다 효율성을 우선시해 보안이 약화될 우려가 있습니다.

금융당국도 지난해 7월 '금융전산 보안강화 종합대책'을 발표하면서 이같은 문제점을 지적한 바 있습니다.

그런데 국내보험사 중에는 삼성화재와 신한생명만이 CIO와 CISO 담당을 따로 두고 있었고, 삼성생명이나 한화생명 등 상위 보험사들은 모두 한 사람이 겸직을 하고 있었습니다.

실제로 고객정보 유출사고를 낸 KB국민카드, 롯데카드, NH농협카드 3개 회사는 모두 CIO와 CISO가 겸직을 해 문제가 되었습니다.

공교롭게도 CIO와 CISO를 겸직하고 있는 회사에서 고객정보 유출사고가 발생하자, CISO를 전임으로 두어야한다는 목소리가 높아지고 있습니다.

금융감독원 관계자는 "CISO가 CIO를 견제하는 역할을 하는데, 겸직하게 되면 정보보호가 취약해지는 등 부작용이 발생할 우려가 크다"고 지적했습니다.

한편, 금융위원회는 자산 10조 이상, 임직원 1천500명 이상인 금융사는 CIO와 CISO를 겸직할 수 없도록 올해 안으로 법 개정을 추진하고 있는 것으로 알려졌습니다.

지금까지 보도국에서 전해드렸습니다.