금감원, 내부통제 부실 이어 정보 보호 미흡 지적
준법감시인 겸직 대신 CISO 전문가 별도 선임 추진
[서울=뉴스핌] 정광연 기자 = 금융감독원(금감원)으로부터 경영유의사항 16건이 담긴 '경고장'을 받은 수출입은행(수은)이 최고정보보호책임자(CISO)를 별도로 선임하는 방안을 추진한다. 전문성이 검증된 인사를 전면에 내세워 핵심 지적사항 중 하나인 정보보호미흡과 IT부문 내부통제강화 문제를 해결한다는 방침이다.
수은 관계자는 "현재 준법감시인이 겸직하고 있는 CISO를 전문가를 물색해 별도로 선임하는 방안을 내부 논의중"이라고 15일 밝혔다.
수출입은행 전경 [사진=수출입은행] |
지난 5월, 수은은 7년만에 이뤄진 금감원 감사에서 경영유의사항 16건과 개선사항 20건이 담긴 경고장을 받은바 있다.
금감원이 지적한 유의사항은 ▲내부자본적정성 ▲부책심의 사후관리 ▲적합성 검증 ▲내부통제(IT부문 포함) ▲정보보호 ▲유동성 리스트 등 경영전반에 걸쳐 있다.
이중 IT부문 내부통제체계 강화와 정보보호관리체계 강화 등과 관련해서는 ▲IT업무 전문성 보유한 감사 인력 부재 ▲해당 부서 감사 시기 불명확 ▲감사 업무에 독립성 저하 및 이해충돌 가능성 등을 지적받았다.
이에 수은은 현재 준법감시인이 겸직하고 있는 CISO를 별도로 선임하는 방안을 추진한다.
CISO는 공공기관이나 기업 등이 관리하는 모든 정보(직원, 고객 포함)의 보호를 책임지는 자리다. 2012년 전자금융거래법 시행령이 개정되면서 자산 2조원 이상, 종업원 300인 이상인 금융회사는 반드시 선임해야 한다.
또한 정보통신망법에 따라 국내 또는 외국에서 정보보호 또는 정보기술 분야 학위를 보유하거나 관련 업무 경력이 있는 전문가를 임명하도록 하고 있다. 최근에는 다른 업무와 겸직을 하는 사례를 막아 정보보호 시스템을 강화하는 방향으로 법개정이 이뤄지기도 했다.
다만 준정부기관이나 기타 공공기관의 경우 영리 목적의 정보통신서비스를 제공하지 않으면 CISO를 별도로 선임할 필요는 없다.
국책은행인 수은은 기타 공공기관으로 분류돼 그동안 CISO를 별도로 선임하지 않고 준법감시인이 겸임해왔다. 하지만 지난 감사에서 정보보호 총괄 타워의 필요성이 지적됨에 따라 별도 전문가를 선임하는 방안을 마련한다는 방침이다.
실제로 수은이 명시한 준법감시인의 직무는 내부통제 및 준법감시 업무 기획과 해당 프로그램 운영, 임직원 행동강령 제·개정과 윤리경영 등을 주요 과제로 꼽고 있다. 정보보호 업무는 사실상 후순위에 불과하다.
이에 금융업계 관계자는 "수은의 경우 일반 고객 업무를 하지 않기 때문에 방대한 개인정보를 관리, 취급하고 보호해야 하는 일반 은행과는 상황이 많이 다르다. 수출입 관련 법인을 상대해 정보보호에 큰 관심을 두지 않았던 것 같다"고 진단했다.
수은은 CISO 별도 선임과 함께 IT부서 감사를 정례적으로 실시하고 IT보안자체감사인 등도 따로 지정할 계획이다. 아울러 감사원이 지적한 은행장 없는 회의 등 부실한 내부통제체제를 개선하고 감사조직의 독립성을 제고하는 등 종합적인 대책을 마련해 조속히 시행할 예정이라고 강조했다.
수은측은 "준법감시인도 CISO를 겸직할 충분한 경험과 조건을 갖추고 있지만 효율성을 위해 별도 선임을 검토하는 것"이라며 "금감원이 지적한 다른 사안들도 문제점을 진단하고 빠르게 해결할 수 있도록 노력하겠다"고 말했다.
peterbreak22@newspim.com