'정보 보안은 어쩌고?'…BC·하나·우리카드 'CIO-CISO 겸직' 고집

자산·인력 규모 이유로 CIO·CISO 겸직
전문가들 "이해관계 충돌·보안 소홀 가능성" 우려 표명

 

1억건이 넘는 신용카드사 개인정보 유출 사고의 후속 조치로 최고정보관리책임자(CIO)와 정보보호최고책임자(CISO)의 겸직을 금지하는 전자금융거래법이 개정된 지 1년가량 흘렀지만, BC카드, 하나카드 및 우리카드는 여전히 두 업무를 한 사람이 겸하고 있어 개선이 필요하다는 지적이다.

세 카드사는 전자금융거래법상 중형 금융사에 속해 한 사람이 두 업무를 겸직하는 게 불법은 아니다. 하지만 이는 같은 조건인 롯데카드를 비롯해 여타 카드사가 CIO와 CISO를 별도로 두는 등 정보 보안 투자에 심혈을 기울이고 있는 점과 극명히 대조된다.

22일 카드업계에 따르면 8개 전업카드사 중 BC카드, 하나카드 및 우리카드 등 세 카드사만 CIO와 CISO를 한 사람이 겸직해 유독 세 카드사가 정보 보안분야에 소홀하다는 얘기가 나온다.

BC카드는 작년 1월 부임한 류재수 IT본부장이 두 업무를 겸하고 있다.

하나카드는 지난달 30일 인사에서 종전 CIO인 손창석 본부장을 고객관리본부로 승진 발령내면서 석승징 본부장이 CISO와 CIO를 동시에 맡고 있다.

우리카드는 이은석 상무대우가 지난 2014년 7월부터 CISO로서 CIO를 겸직하고 있다. 우리카드는 지난 8일 인사에서도 별도의 CIO를 선임하지 않았다.

CIO는 조직의 경영과 전략적 관점에서 정보기술 및 정보시스템을 총괄 관리하는 최고 책임자다. 주로 정보기술과 컴퓨터 시스템 부문에 대한 사업분야를 이끄는 임무를 맡는다. CISO는 기업에서 정보보안 업무에 관련된 총괄 책임을 지는 인력으로 반드시 임원급으로 둬야 한다.

금융권 안팎에서는 카드사가 정보 유출 등 보안에 취약하다는 점에서 CIO와 CISO를 따로 둬야 한다는 주장이 거세다.

물론 CIO와 CISO를 겸직체제를 고집하는 BC카드, 하나카드, 우리카드가 법을 어긴 건 아니다. 작년 4월 개정된 전자금융거래법 시행령에 따르면 총자산 10조원 미만이거나 상시 종업원 수가 1000명을 넘지 않은 금융사는 CIO와 CISO 겸직이 허용된다. 작년 9월말 현재 BC카드와 우리카드의 총자산은 각각 5조원, 7조원이다. 총 임직원 수는 각각 655명, 326명이다. 하나카드의 총자산은 7조원, 임직원 수는 326명이다. 세 카드사는 이 같은 조건을 들며 한 사람에게 CIO와 CISO의 역할을 맡기고 있다.

이는 비슷한 조건인 롯데카드와 대조된다. 롯데카드는 김정환 상무와 최동근 상무가 각각 CIO, CISO다. 롯데카드는 총자산 및 임직원 수가 겸직 금지 기준에 해당하지 않지만, CIO와 CISO의 업무를 각각 구분했다. 특히 지난 2014년 1월 일으킨 정보유출사고를 계기로 정보보안에 유독 신경 쓰는 모습이다. 대형사인 신한·현대·삼성·KB국민카드는 이미 CIO와 CISO를 따로 두고 있다.

상황이 이런데도 카드사 최고경영자(CEO)의 현실 인식은 안이한 수준에 머물러 있다.

유구현 우리카드 대표는 "현재 이은석 상무 겸직체제인 건 사실"이라며 "향후 인력 운영상의 변화 있을지 내부 검토 중"이라고 설명했다. 서준희 BC카드 사장도 "별도의 임원 발탁 여부는 향후 인사개편 과정에서 발표하겠다"고만 말했다.

전문가들은 BC카드, 하나카드와 우리카드가 정보 보안 분야에 대한 의식수준이 낮다고 한목소리로 꼬집는다.

금융보안원 관계자는 "CISO 정보보안을, CIO는 정보화시스템 및 사업을 각각 담당하기 때문에 어떤 사업을 시작할 때 균형을 맞출 수 있다"며 "두 업무를 한 조직원이 동시에 담당하게 되면 정보보안보다는 조직의 경영과 전략적 관점에서 CIO 업무에 더 치우칠 수 있다 "고 염려했다.

구태언 테크앤로 대표변호사는 "CIO가 운영의 효율성을 주로 보는 반면, CISO는 IT시스템의 안전성, 즉 정보보안을 주안점으로 두는 역할을 맡는다"며 "CIO와 CISO를 한 사람이 맡는 건 건축으로 비유하자면 건설사와 감리회사가 같이 하는 셈"이라며 "두 업무 중 어느 한쪽에 소홀해질 수밖에 없다"고 지적했다. 그는 "특히 정보유출사고가 잦은 신용카드사와 같은 금융권에선 이 같은 이해관계 충돌 문제를 막기 위해 CISO와 CIO를 별도로 둬야 한다"고 말했다.

한편, 이날 서울중앙지법은 2014년 카드사 정보 유출 사고에 따른 피해자들 5000여명이 KB국민·롯데·농협카드 및 코리아크레딧뷰로(KCB)를 대상으로 낸 집단소송에서 1인당 10만원씩 손해배상해야 한다고 판결했다. 이는 고객 정보 유출에 따른 손해배상을 인정한 첫 배상 판결이라는 점에서 카드사의 정보 보안에 대한 소비자들의 경각심을 불러일으켰다.

오현승 기자 hsoh@segye.com
유은정 기자 viayou@segye.com

<세계파이낸스>