금융권 3곳중 1곳 전담 정보책임자 없다… 보안 불감증 여전

지난해 사상최대 규모의 개인정보 유출 사태에도 국내 49개 주요 금융사 중 3분의 1은 여전히 전담 정보보호최고책임자(CISO)를 선임하지 않은 것으로 나타났다.

전자금융거래법은 총자산 2조원 이상, 종업원 수 300명 이상 금융회사의 경우 정보보호최고책임자를 지정하도록 규정하고 있다.

28일 기업 경영성과 평가사이트 CEO스코어에 따르면 금융지주 4곳, 시중은행 9곳, 생명보험·손해보험 각 9곳, 카드 8곳, 증권 10곳 등 국내 49개 주요 금융사의 CISO 현황을 조사한 결과, 전담자를 선임하지 않는 금융회사는 16곳(32.7%·23일 기준)인 것으로 집계됐다.

업종별로는 금융지주와 은행의 전담 CISO 비율이 80% 이상으로 높은 반면, 생보, 손보 등 보험은 50% 이하로 낮았다. 지난해 1분기 당시에도 생보는 전담 CISO를 둔 곳이 한 군데도 없었고, 손보도 9곳 중 2곳(22.2%)만이 전담 임원을 선임하며 최저 비율을 나타냈다.

총자산 기준 1·2위인 삼성생명과 한화생명이 나란히 전담 CISO를 두지 않았고, 미래에셋생명과 흥국생명, 알리안츠생명 등 조사대상 9개 기업 중 5곳(55.6%)이 전담자가 없었다.

손해보험 역시 업계 3위인 동부화재를 비롯해 LIG손해보험, NH농협손해보험, 롯데손해보험, 흥국화재 등 9개 조사 업체 중 5곳(55.6%)에서 전담 CISO가 없었다.

4대 금융지주는 전담 CISO를 모두 두고 있었지만, 농협금융지주와 하나금융지주는 단장과 부장으로 전담자가 임원은 아니었다. 다만 농협과 하나금융은 직원 수가 300명을 넘지 않아 CISO를 선임하지 않아도 된다.

시중은행 9곳 중에서는 외환은행만이 전담 CISO를 두지 않았다. 10대 증권사 중에는 업계 1위인 NH투자증권을 비롯해 삼성증권, 현대증권 등 3곳이 CIO가 CISO를 겸임하고 있었다. 카드 업계에서는 비씨카드와 우리카드가 전담 CISO가 없었다.

전문가들은 당국의 이러한 방침에 대해 규제개선에 따른 금융사고 가능성을 차단하고 금융소비자들의 불안감을 덜어줄 수 있는 대비책이 우선적으로 마련돼야 한다고 지적했다.