금융권 정보책임자 절반이 ‘無자격’… 보안 전문가가 없다

국내 금융사의 정보 책임자 절반가량이 정보 보호와 정보기술(IT) 분야의 비(非)전공자인 것으로 나타났다. 관련 자격증 소지자도 전체 13.5%에 불과했고, 평균 근무 기간도 18개월에 그쳤다. 정보보호최고책임자(CISO)와 최고정보책임자(CIO) 10명 중 8명이 다른 직책들을 겸직했다. 금융사의 정보 유출 사고가 잦았던 까닭으로 CISO·CIO의 전문성 부족을 꼽아도 무리한 해석이 아닌 셈이다.

서울신문이 19일 금융감독원으로부터 단독 입수한 ‘2012년 5월 이후 금융회사 CISO·CIO 현황’ 자료를 분석한 결과 은행·증권·선물·종금·보험·카드사의 CISO·CIO 340명 중 47.6%가 정보 보호나 IT 분야의 비전공자인 것으로 조사됐다.

특히 CISO·CIO의 정보 보호 관련 경력은 평균 29개월밖에 안 됐다. 금융사들이 지난해 5월 전자금융거래법 개정으로 CISO 전임제가 도입되면서 전공 여부나 관련 경력 유무에 관계없이 ‘일단 자리를 채우고 보자’는 얄팍한 술수가 엿보인다.

특히 CISO와 CIO의 동시 겸직뿐 아니라 마케팅과 경영지원, 사업본부 등 영업 부서와 겸직하는 CISO와 CIO도 수두룩했다. 한국수출입은행의 전·현직 CISO는 총괄기획본부와 남북협력본부 소속으로 CISO의 자격 요건을 충족하지 못했지만 임명됐다. 이들은 보안 비전공자에 정보 보호 유관 경력이 없는 것으로 확인됐다. 여기에 CIO가 CISO까지 겸직했다. 이번 ‘카드 사태’의 주역인 KB국민카드도 여전히 CISO와 CIO가 겸직인 데다 정보 보호 관련 경력이 없다. 롯데카드와 NH농협카드도 별반 다르지 않다.

염흥열 순천향대 정보보호학과 교수는 “정보 보안은 전문적인 기술이 필요한 분야이지만, 금융사들이 형식적인 요건을 갖추기 위해 전문성이 없는 사내 인사를 앉히는 등 정보 보안에 무감각하게 대응해 왔다”면서 “자율적으로 지켜지지 않는다면 금융당국이 적극 나서서 점검할 필요가 있다”고 지적했다.

김경두 기자 golders@seoul.co.kr

김진아 기자 jin@seoul.co.kr