모바일 결제, 간편 송금, 인슈어테크 등 디지털 기술을 활용한 핀테크 혁신이 빠르게 확산되면서 사이버 위협도 인공지능(AI)을 활용하는 등 점점 지능화·조직화되고 있다. 아울러 개인정보 유출의 위험도 커지는 등 디지털 금융의 리스크가 크게 증가하고 있다. 우리 금융 산업과 경제발전을 위해서 금융의 디지털 혁신이 성공해야 하는 것은 당연하다. 그러나 금융결제 인프라의 개방, 클라우드 이용 활성화, 마이데이터 산업 도입 등 핀테크 규제 완화와 더불어 반드시 전제돼야 하는 것이 새로운 위협에 대비해 금융보안을 강화하는 일이다.
금융회사에는 금융보안을 책임지고 있는 정보보호최고책임자(CISO) 직책이 있다. 전자금융거래의 안정성을 확보하기 위해 금융회사와 전자결제 기능을 하는 전자금융업자들은 의무적으로 CISO를 지정해야 한다. CISO는 정기적으로 정보보안 사항을 점검하고 최고경영자(CEO)에게 그 결과와 대책을 보고하는 등 정보보호에 관한 책임을 지고 있다.
그런데 CISO들을 만날 때마다 자주 듣는 얘기가 있다. “정보보호가 돈을 버는 업무가 아니다 보니 인기가 없고 임원이라 하더라도 조직 내 서열이 낮아 소위 힘이 없다. 보안은 늘 막고 뚫는 것이 일상화돼 있는데 사고라도 발생하면 CISO들은 목이 열 개라도 모자란다.”는 것이다. 이러한 푸념은 금융회사들이 디지털 혁신과 보안을 얼마나 균형적으로 생각하고 있는지, CISO의 조직 내 위상이 어떠한지를 말해준다.
마침 개인정보보호가 강화되면서 정보통신서비스 제공자인 일반 기업들도 의무적으로 CISO를 선임하도록 하는 개정 정보통신망법이 오는 6월에 시행될 예정이다. 금융당국도 보안이 혁신과 조화를 이루고 균형적으로 발전할 수 있도록 금융보안 종합대책을 마련하고 있다. 이에 CISO 제도도 다음과 같은 방향으로 개선될 필요가 있다.
첫째, 금융 CISO의 지위와 권한을 개정 정보통신망법 수준으로 강화하자. 모든 CISO를 임원으로 지정하고 정당한 사유 없이 인사상 불이익을 받지 않도록 명문화함으로써 그 신분을 보장해야 한다. 둘째, 정보보호업무가 주요 경영진에 의해 다양한 관점에서 논의돼야 하고 현재 부서장급으로 운영 중인 정보보호위원회를 임원급으로 구성하도록 하자. 늘어나야 할 은행권의 금융보안 예산이 해마다 줄어들고 있는 것이 현주소다. 셋째, CISO 협의체의 운영 근거를 법제화해 사이버 위협 공동 대응 및 교류 협력을 강화하자. 금융보안원은 이미 금융권역별 CISO 협의체를 운영하고 있으나 이번 개정 정보통신망법과 같이 그 법적 근거를 명시할 필요가 있다.
금융혁신과 금융보안은 차량의 액셀레이터와 브레이크처럼 균형적으로 발전돼야 한다. 그러기 위해서는 CISO의 위상을 정립해 사람이 제대로 일할 여건을 만드는 것이 그 출발점이다.
