지난해 사상 최대 규모의 개인정보 유출 사태에도 불구하고 생명보험업계 랭킹 1,2위인 삼성생명과 한화생명이 아예 전담 정보최고책임자'(CISO)를 두지 않고 있다. 손해보험업계에서는 동부화재, LIG손보 등이 CISO를 선임하지 않았다. 국내 주요 금융사 3곳 중 1곳은 임원급 정보보호최고책임자(CISO)를 두지 않고 사실상 '보안 불감증'에 걸린 것으로 나타났다.
28일 기업경영성과 평가사이트 CEO스코어에 따르면 금융지주(4개), 시중은행(9개), 보험(18개), 카드(8개), 증권(10개) 등 국내 주요금융사 가운데 CISO를 선임하지 않은 곳은 16개(32.7%)로 집계됐다.
4대 금융지주 모두 전담 CISO를 선임했지만, 농협금융지주와 하나금융지주는 전담자가 단장과 부장으로 임원급이 아니었다. 시중은행 9개 중에서는 외환은행만이 전담 CISO를 두지 않았다.
현행 전자금융거래법에 따르면 금융회사는 직전 사업연도 말 총자산이 2조원 이상이고, 종업원이 300명 넘을 경우 정보보호최고책임자를 임원으로 지정해야 한다. 업종 별로는 금융지주와 은행의 전담 임원급 CISO 비율이 80% 이상으로 비교적 높았다. 반면 생·손보업계 CISO 선임 비율은 절반을 밑돌았다.
지난 해 1분기 당시에도 생보는 전담 CISO를 둔 곳이 한 군데도 없었고, 손보도 9곳 중 2곳(22.2%)만이 전담 임원을 선임하며 최저 비율을 나타냈다.생명보험 업계는 총자산 기준 1,2위인 삼성생명과 한화생명[088350]이 나란히 전담 CISO를 두지 않았고, 미래에셋생명과 흥국생명, 알리안츠생명 등 조사대상 9개 기업 중 5곳(55.6%)이 전담자가 없었다.
손해보험 역시 업계 3위인 동부화재를 비롯해 LIG손해보험, NH농협손해보험, 롯데손해보험, 흥국화재 등 9개 조사 업체 중 5곳(55.6%)에서 전담 CISO가 없었다. 4대 금융지주는 전담 CISO를 모두 두고 있었지만, 농협금융지주와 하나금융지주[086790]는 단장과 부장으로 전담자가 임원은 아니었다. 물론 농협과 하나금융은 직원 수가 300명을 넘지 않아 CISO를 임원으로 선임하지 않아도 되지만, 책임자급이 임원인 곳에 비하면 정보보안 업무 진행에 힘이 덜 실릴 수밖에 없다. 시중은행 9곳 중에서는 외환은행만이 전담 CISO를 두지 않았다.
10대 증권사 중에는 업계 1위인 NH투자증권을 비롯해 삼성증권, 현대증권 등 3곳이 CIO가 CISO를 겸임하고 있었다. 카드 업계에서는 비씨카드와 우리카드가 전담 CISO가 없었다.
CEO스코어측은 "현재 전담 CISO 비율(67.3%)은 개인정보 유출에 따른 소비자 불안이 극심했던 작년 1분기(32%)에 비해 배 이상 높아진 것이지만 소비자의 눈높이에는 여전히 미진한 수준"이라고 꼬집었다. 금융당국은 이런 가운데 IT·금융 융합 지원을 통한 핀테크 산업활성화를 위해 사전심사를 철폐하고 공인인증서 사용의무를 폐지하는 등 규제를 최소화하기로 했다.