잇단 개인정보 유출사고에
전자금융거래법 개정안 시행따라
금융보안원 개원…수시점검나서


증권업계가 고객의 개인정보보호 강화에 나서고 있다. 자의반, 타의반이다. 잊을만하면 터지는 개인정보 유출 사건은 배경이다. 여기에 금융 당국이 ‘보안이 투자’라 일갈했고, 업계 측에서도 이에 호응하는 제스처를 취할 필요성이 생겼기 때문이다. 그러나 여전히 갈길은 멀다.

NH투자증권은 지난 21일 백종우 전 IT기획부장을 정보보호최고책임자(CISO)로 임명했다. 증권 업계에선 처음으로 최고정보관리책임자(CIO)와 CISO 직책을 분리한 것이다. 회사측이 개인정보 보호에 나서겠다는 의지가 읽힌다. 그러나 뒤늦었다는 지적이 나온다.

지난 16일부터 시행에 들어간 ‘전자금융거래법 시행령 개정안’은 총 자산 10조원 이상, 종업원 수 1000명 이상인 금융회사의 CISO는 최고정보책임자(CIO) 등 다른 업무와 겸직할 수 없다고 돼 있다.

NH투자증권이 업계에선 최초로 CISO와 CIO를 분리했음에도 ‘잘했다’는 평가보다 ‘늦었다’는 지적이 앞서는 이유다. 관련법이 시행된지 5일 동안 원칙적으론 법을 위반한 셈이기 때문이다.

다른 증권사들의 상황은 더 나쁘다. 현대증권, 삼성증권 등 대형 증권사들은 여전히 CISO와 CIO가 분리되지 않았다. 모두 법 위반 사항이지만, ‘부칙’이 이들을 구제했다. 전자금융거래법 시행일 이전에 임명된 CISO의 경우 CIO 겸직이 예외적으로 허용돼있기 때문이다.

올들어 금융업계는 보안 강화에 비교적 적극적인 행보를 보이고 있다. 지난 10일에는 금융보안원이 창립됐다. 금융 보안원은 은행과 증권으로 분리됐던 사이버 위협에 따른 정보 공유시스템을 통합해 운영하게 된다.

이 자리에서 임종룡 금융위원장은 보안을 부수 업무로 가볍게 여기는 증권업계를 향해 ‘수주대토(守株待兎-)’하고 있다고 질타했다. 얼굴을 보지 않고 처리되는 증권 및 금융 업무가 늘어나고 있는 상황에서, 보안이 제대로 지켜지지 않을 경우 수익과도 직결될 수 있다고 지적했다. 임 위원장은 “여세추이(與世推移-세상의 변화에 맞춰 함께 변한다)의 정신으로 보안에 대한 투자를 늘려야 한다”고 말했다.

그러나 여전히 업계 내에선 보안을 비용으로 간주하는 시각이 많다는 것이 중론이다.

지난해 1월 KB국민카드, NH농협카드, 롯데카드에서 1억여건의 정보가 유출된 후에도 여전히 각종 추진 정책에 대해 ‘반대’ 의사 표출이 많은 것으로 알려지고 있다. ‘정보보안점검의 날’에 매월 시스템 점검을 받는 것에 대해, 금융투자협회가 현실적인 이유를 들어 반대한 것으로 전해지고 있다.

홍석희 기자/hong@heraldcorp.com