2024-02-23 11:40 (금)
[칼럼] 금융권 CIO와 CISO 겸직금지, 갑론을박에 대해
상태바
[칼럼] 금융권 CIO와 CISO 겸직금지, 갑론을박에 대해
  • 길민권
  • 승인 2013.08.01 13:08
이 기사를 공유합니다

어려움 있다고 정책 본래 취지 훼손시켜선 안돼…금융당국 노력 필요
[고려대 이경호 교수] 최근 금융위와 금감원의 금융보안대책에서 CIO와 CISO 직위에 대한 겸직금지와 관련한 내용이 포함되었다. 이는 자산 10조원 이상이며, 임직원 1500명 이상인 금융회사에 대하여 적용되며, 부당한 인사상의 불이익을 금지하고, 책임에 따른 문책부담을 해소하기 위하여 최소한의 임기를 보장할 수 있도록 방침을 정한다고 한다.
 
일면 상당히 가시적이며 의미있는 정책으로서 금융보안에 대한 비중을 확대하고 관련 업무 종사자에 대한 권리를 증진하며 책임성과 권한을 강화한다는 메세지가 담겨있다고 판단된다.
 
하지만 각 조직과 회사의 입장과 CISO 새로운 역할에 관심이 있거나 CIO 조직의 변화에 대한 우려로 인하여 이에 대한 갑론을박이 있는 모양이다. 아무래도 CISO에 대한 역할과 책임에 대한 정리를 한번하고, 이를 기반으로 어떤 정책이 바람직 할 것인지 원론과 기초를 확인한다면 혹시 이 문제를 풀어 나가는데 열쇠가 되지 않을까 한다.
 
먼저 CISO란 무엇인가? 그 직위와 권한에 대하여 알아보자.
 
CISO란 Chief Information Security Officer 약자로서 Chief은 고위 경영진을 의미한다. 여기에서 경영진이란? 상법 또는 법인세법에 따라 이사회에 참여하거나, 법인의 회장, 사장 및 전무, 상무 등을 포함하여 지칭하고 있다. 즉, 실효적인 경영권을 확보하고 있거나, 적어도 명시적인 경영진으로서 법적 책임이 있는 자를 일컫는다.
 
따라서 명백히 CISO는 의사결정에 있어서 다른 이사진, 즉 대표이사, 사장, 부사장 등과 동등한 입장에서 본인이 권한과 책임을 가지고 있는 영역에 대한 경영상의 역할을 보장 받는다는 의미이다.
 
최근 모든 보안사고에 대한 최종 책임은 모두 대표이사에게 있다는 주장이 있는데 이는 그 동안의 다양한 사고, 특히 금융사고에 대한 판례를 보더라도 합치하지 않으며, 일반적으로 현실 조직에서 대표이사의 역할과 전문성으로 볼때 금융보안에 대한 정확하고 의미있는 전문적인 의사결정을 직접 내리고 조직을 관장하는데는 한계가 있다.
 
따라서 CISO 본래의 취지에 맞도록 법령에 정한 경영진으로서 역할을 독립적으로 부여함과 동시에 최종 책임을 부여하고 이를 감당할 수 있는 예산과 자원을 할당하는 것이 타당하다고 할 것이다.
 
다음은 어떤 업무를 통하여 역할을 부여 받고 있는가를 들여다 볼 필요가 있다. CISO는 회사와 조직 전반의 정보보호 및 정보에 대한 보장성 측면(이러한 보장에는 법적 이슈에 대한 부분이 포함되어 있다.)에서 비젼을 수립하고, 전략을 마련하며, 각종 프로그램을 통하여 보유한 정보가 보호됨을 보증할 수 있어야 한다.
 
이에 따른 CISO의 자격과 안목은 전문성, 업에 대한 이해도, 커뮤니케이션 역량, 리스크관리에 대한 기획력 및 금융 컴플라이언스에 대한 법적 식견 등을 필히 포함할 수 있어야 한다.
 
이와 함께 CISO의 업무범위에서 보호 대상에는 정보를 담고 있는 전체 업무 프로세스가 포함되어 있고, 특히 IT 영역이 반드시 포함되어야 한다.
 
은행의 경우 바젤 2.0 이후에서는 IT 운영 리스크를 전체 리스크 중에서 매우 큰 비중으로 확대하였으며, 따라서 필수 관리 대상이라고 할 것이다. 이때 정보를 처리하는 전반적인 업무 프로세스는 다양한 조직을 넘어서 운영되고 있으므로 조직과 조직간의 인터페이스가 되는 영역도 CISO의 관장 범위에 필수적으로 포함된다.
 
또 한가지 핵심적인 업무 영역은 정보 및 IT와 관련이 있는 영역의 법률 적용에 대한 확인, 즉 법적 준거성을 CISO의 책임에 포함한다는 것이다. 우리에게는 전자금융 관련 법적 준거성과 개인정보보호에 대한 법률적 이행에 대한 책임이 포함된다고 할 것이다.
 
따라서 다른 C-Level 경영진과 마찬가지로 명확한 책임이 부여되며 그에 따른 보상이 필수적이며, 오히려 현재 등장하는 불확실한 각종 IT 리스크를 감안할 때 매우 강력한 전문성이 필요하며, 또한 각 조직을 넘나드는 업무 기획 역량과 커뮤니케이션의 필요성을 감안할 때 그 위상이 결정된다고 할 것이다.
 
이러한 기본적이며, 원론적인 관점에서 볼때, 현재의 논란은 각 회사와 조직의 관점에서의 조직의 변경에 대한 어려움과 위상변화에 따른 장애요소들에 따른 애로사항이 표출된 것으로 보인다. 하지만 심각하거나 법적 공방에 이르는 문제가 발생했을 때 이를 해결하기 위한 테이블에는 원론을 참고하게 되며, 특히 법정에서는 그 본분을 기반으로 의사결정에 이르게 된다.
 
따라서 각 이해 당사자들과 현재의 어려운 환경 및 자원의 부족함을 논하기 이전에 반드시 CISO 분리 정책의 근본 취지를 이해하고, 이를 해석함에 있어서 최악의 경우를 감안하여 그 상황에 맞는 역할과 책임을 정의 할 필요가 있다.
 
물론 현실에서 자산 10조원 이상이며, 임직원 1500명 이상인 금융회사에서의 애로사항이 존재하며, 조직의 문화와 지배구조 및 그 작동 원리가 각 업종, 지역 및 설립 환경에 따라 서로 상이하므로서 다양한 이슈가 있는 것도 사실이다.
 
이러한 이슈는 개개 사안별로 감독기관이 조율하여 감독의 수준을 사전에 가이드함이 바람직하나 원론을 저버리지 않는 선에서 이루어지는 것이 바람직하다.
 
특히 CISO는 외부 영입이 적절한지, 내부 업력이 있는 자가 할 것인지 등에 대한 판단과 내부 조직안에서 어떻게 위치할 것인지, 기존 컴플라이언스 부서와의 관계는 어떻게 설정할 것인지, 리스크관리 위원회와의 관계와 협업을 어떻게 할 것인지는 우리의 개정된 외부감사법과 자본시장법을 기반으로 원론에 충실한다는 전제하에 추진해 간다면 애로사항은 있겠지만 방향이 흔들리지는 않을 것이다.
 
결국, CISO와 관련된 논란의 본질을 정확히 이해하는 것이 중요하며, 이번 정책의 본래의 취지를 이해하며, 그 본질이 훼손되지 않도록 명확한 해석을 통하여 이행해 나아가는 지혜가 필요할 것이라고 사료된다.
 
이러한 과정에서 금융위와 감독원은 그 과정에서의 애로사항은 실시간으로 청취하고 적극적인 해석을 통하여 정책의 가시성을 확보하고 지속적으로 수정 및 보완도 병행하는 정책 수명주기의 성공적인 운영을 기대해 본다.
 
글. 이경호 고려대학교 정보보호대학원 교수 / kevinlee@korea.ac.kr
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★