금융당국이 정보보호최고책임자(CISO)의 권한과 위상을 법적으로 강화하는 제도 정비를 검토하고 있다. 잇따른 대형 해킹 사고의 책임을 최고경영자(CEO)에게 묻는 ‘책무구조도’ 도입과 맞물려, 실무 총괄인 CISO에게도 그에 상응하는 독립성을 보장하고 충분한 보안 투자를 독려할 수 있도록 여타 ‘C-레벨’에 준하는 위상을 만들겠다는 취지다.

16일 금융권에 따르면 금융당국은 현재 국회에 발의된 전자금융거래법 개정안(유동수 의원 대표발의)의 입법 취지에 맞춰 시행령과 감독규정 정비를 위한 사전 실무 검토에 돌입했다. 법안 통과 시 즉각적인 제도 시행이 가능하도록 밑그림을 미리 그리겠다는 의도다.

이세훈 금감원 수석부원장은 이날 열린 금융정보보호협의회 정기총회에서 “정보보안은 비용이 아닌 생존을 위한 투자”라고 정의하며, CEO가 직접 보안을 최우선 경영 과제로 챙길 것을 주문했다. 특히 “CISO가 IT·보안 리스크를 진단하고, 조직의 보안 문화를 주도하는 핵심 리더 역할을 해야 한다”며 이를 위해서는 CISO가 단순 실무 임원이 아닌, 의사 결정의 주체로 격상돼야 한다는 점을 강조했다.

현재 금융사 내 CISO는 C-레벨 직함을 달고 있지만, 최고재무책임자(CFO)나 영업 담당 임원 등에 밀려 예산 확보나 인력 운용에서 제 목소리를 내지 못하고 있다.

금융당국은 이 같은 현실을 타개하기 위해 전금법 개정안 통과 시 즉각 후속 조치에 나설 수 있도록 사전 준비를 진행 중이다. 지난달 28일 발의된 개정안은 CEO를 전자금융거래 안전성의 ‘최종 책임자’로 명시하고 CISO의 ▷이사회 의결 임면 ▷임기 2년 보장 ▷별도 보수·평가 기준 마련 등을 담았다.

금융당국은 법안 통과 시 시행령과 감독규정 등 하위 법규를 통해 CISO의 권한을 보다 구체적인 조항으로 명문화한다는 계획이다. 예컨대 CISO가 예산을 요구할 때 타 임원에 의해 임의로 삭감되거나 배제되지 않도록 절차적 권리를 보장하겠다는 것이다.

금감원 관계자는 “CISO가 책무를 다하려면 그에 상응하는 위상과 독립성이 보장돼야 한다”며 “CEO가 CISO의 독립성을 보장하는 것은 물론, 중요한 보안 투자가 필요할 때 CISO의 의견이 즉각 반영될 수 있도록 법적 안전장치를 강화할 것”이라고 강조했다.

현장에서는 제도가 ‘형식적 요건 맞추기’를 넘어 실질적인 ‘방어 역량 강화’로 이어져야 한다고 제언한다. 금융권 관계자는 “자본력이 있는 대형사는 IT 예산 비율 등 금융당국의 요구 수준을 맞추는 게 어렵지 않다”면서도 “단순히 요구 수준을 맞추는 것을 넘어 실제 필요한 곳에 예산이 쓰일 수 있도록 CISO의 권한이 현장에서 작동해야 한다”고 말했다. 박성준 기자