금융회사 5곳 중 1곳은 정보보호최고책임자(CISO)가 다른 정보기술(IT) 관련 업무를 겸직하고 있는 것으로 나타났다.

지난 16일부터 시행된 '전자금융거래법 시행령 개정안'에 따라 총 자산 10조원 이상, 종업원 수 1000명 이상인 금융회사의 CISO는 최고정보책임자(CIO) 등 다른 업무와 겸직할 수 없다.

뉴시스가 CISO 겸직 금지 요건에 해당되는 은행(9개)·카드(4개)·증권(10개)·손보사(6개)·생보사(6개) 등 총 35개사의 현황을 분석한 결과 8개사(22.85%)가 17일 현재까지 겸직 상태인 것으로 조사됐다.

시행령 통과 이전까지 금융회사들의 CISO는 대부분 CIO가 함께 맡았다. CISO가 금융사 고객의 '정보보호'를 책임지는 임원이라면, CIO는 정보를 이용하는 IT 관련 업무를 한다.

지난해 카드사 정보유출 사고가 발생한 뒤 금융당국은 정보보호 강화 대책으로 총 자산 10조원, 종업원 1000명 이상 등 일정 규모 이상의 금융사의 CISO와 CIO를 분리토록 했다.

금융업권별로 살펴보면 9개 시중은행 가운데 KB국민은행 등 8개 은행은 CISO의 업무를 분리시켰다. 다만 외환은행만 공웅식 전무가 IT본부 겸 고객정보보호본부의 최고책임자를 맡고 있었다.

지난해 정보유출 사고로 홍역을 치른 카드업계의 경우 CISO 겸직 금지 조항을 모두 지키고 있었다.

생보업계에서는 삼성생명과 알리안츠생명이, 손보업계에서는 LIG손보와 동부화재가 아직 CISO와 CIO를 분리하지 않았다.

증권업계의 경우 업계 1위인 NH투자증권과 현대증권, 삼성증권 등 대형사들을 위주로 CISO가 CIO와 겸직하고 있었다.

한편 이들 금융회사는 현(現) CISO의 임기가 끝난 뒤 재선임하거나 신규 선임할 때 CIO 업무와 분리시키겠다는 방침이다. 전자금융거래법 시행령 부칙에는 시행일 이전 임명된 CISO의 경우 CIO와의 겸직을 예외로 허용했다.

금융위 관계자는 "원칙적으로는 지난 16일부터 CISO·CIO 겸직이 금지됐지만, 칼로 자르듯 적용할 수 없어 시행령 부칙을 통해 금융사들이 CISO 선임을 검토할 수 있는 유예기간을 뒀다"고 말했다.

#금융사