서울신문은 지난주 금융감독원의 ‘금융회사 정보보호최고책임자(CISO)·최고정보책임자(CIO) 현황’ 자료를 입수해 ‘금융사 정보책임자 절반이 ‘무(無)자격’이라고 보도한 적이 있다. 자료에서 가장 눈길을 끄는 항목은 CISO·CIO의 임원 여부와 CISO 자격 충족 여부였다. 정보 보안에 대한 금융당국의 감독 부실뿐 아니라 금융사의 관리 소홀 등을 확인할 수 있는 사례여서 그렇다.

전자금융거래법상 총자산 2조원, 종업원 300명 이상인 금융사는 CISO를 임원으로 선임해야 한다. 임원이 아닌 사람을 임명하면 법 위반이다. 또 CISO 자격 충족은 법 위반 여부를 떠나 각 금융사의 보안 관리 실태가 어떠했는지를 엿볼 수 있다. 자격 미달인 CISO를 선임했다는 것은 의무적으로 자리 채우기에 치중했다는 것을 보여준다.

그러나 금감원의 해명은 ‘손바닥으로 하늘을 가리기’에 급급하다는 인상을 지울 수 없다. 금감원은 정보 보호와 정보 기술(IT) 분야 전공과 유관 경력, 소속 부서, 겸직명, 선임·퇴임일, 근무 기간, 금감원 출신 여부, 학위 취득연도, 관련 자격증 등 항목 20여개 가운데 유독 임원과 CISO 자격 충족 여부 항목만 급하게 만들다 보니 ‘팩트’(사실)가 아니라고 주장했다. 금감원이 스스로 만든 자료에 ‘하자’가 있다고 나선 꼴이다.

하지만 기자가 취재한 내용은 사뭇 달랐다. 금감원은 CISO 자격 요건을 충족하지 못한 금융사에 CISO 재선임을 요구했다. 또 금융사 측에 CISO의 전공과 경력 등을 포함한 프로필을 보고하도록 했으며, CISO의 자격 조건을 적시한 지침도 전달했다.

A금융사 관계자는 “CISO가 기준 미달이니 재선임하라는 지시를 받았다”면서 “다만 3개월의 유예 기간이 있어 금감원 기준에 맞는 CISO를 찾고 있다”고 말했다. 또 “우리 CISO가 정보 보호 컨설팅에서 일한 경력이 있어 이를 금감원 측에 유권 해석을 의뢰했지만, 결국 자격 미달로 판명났다”고 털어놨다. B금융사 관계자는 “지난해 CISO의 자격 미달 지시를 받아 지난 1월 1일 CISO를 새로 선임했다”고 밝혔다. C업체 관계자는 “정보 보호 전공자는 유관 경력이 3년 이상이면 CISO 적격 판단을, 비(非)전공자는 5년 이상의 경력을 채워야만 자격을 준 것으로 알고 있다”고 설명했다.

금감원이 거짓 해명을 내놓은 배경엔 일부 금융사가 여전히 자격 미달의 CISO를 교체하지 않는 데다 카드 3사의 대규모 정보 유출로 금융당국의 허술한 관리감독이 도마에 올랐기 때문으로 분석된다. 자격 미달 CISO의 존재와 임원이 아닌 CISO는 금감원의 직무 유기로 이어질 수밖에 없다. 또 금감원이 내부용으로 만든 민감 정보가 보도된 것도 심기를 불편하게 했을 수도 있다. 그럼에도 거짓 해명은 번지수를 잘못 찾은 것이다.

지금이라도 자격 미달인 CISO를 교체하도록 지도하고, 임원이 아닌 CISO는 법에 따라 징계하는 것이 제2의 ‘카드 사태’를 막는 지름길임을 명심해야 한다.

golders@seoul.co.kr