유동수 의원 전금법 개정안 대비 시행령 정비 착수
SKT·롯데카드·쿠팡 등 대형 정보유출에 위기감
“보안투자 필요할 때 CISO 의견 반영 독립성 보장”
업계 “AI 해커에 낡은 규제 역부족…칼로 총 막아”
SKT·롯데카드·쿠팡 등 대형 정보유출에 위기감
“보안투자 필요할 때 CISO 의견 반영 독립성 보장”
업계 “AI 해커에 낡은 규제 역부족…칼로 총 막아”
 |
| 금융당국이 정보보호최고책임자(CISO)의 권한과 위상을 법적으로 강화하는 제도 정비를 준비하고 있다. 대형 해킹 사고가 잇따르면서 최고경영자(CEO)에게 보안 사고의 최종 책임을 묻는 기조와 맞물려, CISO가 보안 투자를 직접 요구하고 관철할 수 있도록 독립적인 권한을 시행령에 담겠다는 계획이다. [헤럴드 DB] |
[헤럴드경제=박성준 기자] 금융당국이 정보보호최고책임자(CISO)의 권한과 위상을 법적으로 강화하는 제도 정비를 준비하고 있다. 잇따른 대형 해킹 사고의 책임을 최고경영자(CEO)에게 묻는 ‘책무구조도’ 도입과 맞물려, 실무 총괄인 CISO에게도 그에 상응하는 독립성을 보장하고 충분한 보안 투자를 독려할 수 있도록 여타 ‘C-레벨’에 준하는 위상을 만들겠다는 취지다.
16일 금융권에 따르면 금융당국은 현재 국회에 발의된 전자금융거래법 개정안(유동수 의원 대표발의)의 입법 취지에 맞춰 시행령과 감독규정 정비를 위한 사전 실무 검토에 돌입했다. 법안 통과 시 즉각적인 제도 시행이 가능하도록 밑그림을 미리 그리겠다는 의도다.
금융당국 관계자는 “최근 보안 사고 빈발로 보안 투자 확대와 인식 제고가 시급하다는 데 공감대가 형성됐다”며 “법안 논의 과정에 발맞춰 CISO가 독립적인 위상을 확보할 수 있도록 하위 규정에 구체적인 역할과 권한을 명시하는 작업을 준비 중”이라고 설명했다.
이런 움직임은 금융은 물론, 유통·통신 등 국민 생활과 밀접한 산업계 전반에서 정보 유출 사고가 잇따르면서다. 지난 4월에는 SK텔레콤의 유심 해킹 사고로 2500만명의 고객 정보가 유출됐고, 8월에는 롯데카드에서 297만명의 카드 정보가 새어 나갔다. 이후 9월 KT 해킹 사고에 이어, 지난달에는 쿠팡에서 3370만명의 개인정보 유출 사건이 발생하면서 위기감이 고조됐다. 이에 금융당국은 보안 사고의 최종 책임을 CEO에게 묻는 기조를 세우고, 이를 뒷받침하려면 실무 총괄의 권한부터 강화해야 한다고 판단했다.
“보안은 생존 투자”…현장은 ‘비용 부서’ 취급
이세훈 금감원 수석부원장은 이날 열린 금융정보보호협의회 정기총회에서 “정보보안은 비용이 아닌 생존을 위한 투자”라고 정의하며, CEO가 직접 보안을 최우선 경영 과제로 챙길 것을 주문했다. 특히 “CISO가 IT·보안 리스크를 진단하고, 조직의 보안 문화를 주도하는 핵심 리더 역할을 해야 한다”면서 이를 위해서는 CISO가 단순 실무 임원이 아닌, 의사 결정의 주체로 격상돼야 한다는 점을 강조했다.
현재 금융사 내 CISO는 C-레벨 직함을 달고 있지만, 최고재무책임자(CFO)나 영업 담당 임원 등에 밀려 예산 확보나 인력 운용에서 제 목소리를 내지 못한다. 보안 조직을 수익 없는 부서로 치부하거나, 규제 충족을 위한 ‘방어막’ 정도로 여기는 인식이 지배적인 탓이다.
한 금융권 보안 담당자는 “예산이나 인력, 시스템 도입 등의 의사결정 권한이 CISO에게 온전히 주어지지 않는 경우가 많다”며 “경영 의사결정 테이블에 상시 참여하지 못하고 자문 역할에 그치는 게 현실”이라고 토로했다.
법안 통과 시 시행령으로 독립성·권한 구체화
금융당국은 이 같은 현실을 타개하기 위해 전금법 개정안 통과 시 즉각 후속 조치에 나설 수 있도록 사전 준비를 진행 중이다. 지난달 28일 발의된 개정안은 CEO를 전자금융거래 안전성의 ‘최종 책임자’로 명시하고 CISO의 ▷이사회 의결 임면 ▷임기 2년 보장 ▷별도 보수·평가 기준 마련 등을 담았다.
금융당국은 법안 통과 시 시행령과 감독규정 등 하위 법규를 통해 CISO의 권한을 보다 구체적인 조항으로 명문화한다는 계획이다. 예컨대 CISO가 예산을 요구할 때 타 임원에 의해 임의로 삭감되거나 배제되지 않도록 절차적 권리를 보장하겠다는 것이다. 이를 통해 보안 투자가 후순위로 밀리는 관행을 원천 차단하겠다는 의도다.
금감원 관계자는 “CISO가 책무를 다하려면 그에 상응하는 위상과 독립성이 보장돼야 한다”며 “CEO가 CISO의 독립성을 보장하는 것은 물론, 중요한 보안 투자가 필요할 때 CISO의 의견이 즉각 반영될 수 있도록 법적 안전장치를 강화할 것”이라고 강조했다.
“규제 맞추기 넘어 현장서 권한 작동해야”
현장에서는 제도가 ‘형식적 요건 맞추기’를 넘어 실질적인 ‘방어 역량 강화’로 이어져야 한다고 제언한다. 금융권 관계자는 “자본력이 있는 대형사는 IT 예산 비율 등 금융당국의 요구 수준을 맞추는 게 어렵지 않다”면서도 “단순히 요구 수준을 맞추는 것을 넘어 실제 필요한 곳에 예산이 쓰일 수 있도록 CISO의 권한이 현장에서 작동해야 한다”고 말했다.
또 다른 관계자는 “해커들은 인공지능(AI) 등 최신 기술인 ‘총’을 들고 공격하는데, 금융사는 낡은 망분리 규제 탓에 ‘칼’을 들고 막는 형국”이라며 “CISO에게 책임을 묻는 만큼, 좀 더 유연한 방어 전략을 짤 수 있는 권한도 함께 부여해야 한다”고 제언했다.
