'무방비 카드사' 최고 보안책임자 둔 곳 전무

[아시아경제 이지은 기자] 최근 현대캐피탈 해킹과 농협 전산장애 등 대규모 금융 정보기술(IT) 사고가 이어지고 있지만 국내 카드사들의 IT 보안 현실은 금융당국이 정한 최소한의 권고 수준에도 못미치고 있는 것으로 드러났다. 금융감독원이 확보하도록 권고한 최고정보보호책임자(CISO)를 둔 곳은 단 한 군데도 없으며, 보안최고책임자(CSO)가 있는 카드사도 삼성카드 한 곳뿐이었다.

현대캐피탈과 농협 사태가 터지자 뒤늦게 비씨카드 등이 IT 분야를 강화하고 있지만 '핵심인력'을 확보하지 못해 갈 길이 멀다는 지적이다. 　

◆CSO 둔 카드사는 단 한 곳뿐 = 20일 카드업계와 금감원에 따르면 전업카드사 가운데 삼성카드를 제외한 나머지 회사에는 CSO가 없는 것으로 나타났다. 신한ㆍ롯데카드 등은 모두 최고정보책임자(CIO)가 CSO를 겸임하고 있으며, 현대카드도 황유노 부사장이 IT실을 관리하면서 CIO와 CSO를 겸임하고 있는 상황이다. 하나SK카드, KB카드 등 분사했거나 설립된 지 얼마 안 된 카드사들은 CIO마저 없는 상태다.

금융감독원은 2009년 7월 디도스(DDoS) 사태(7.7사태)를 계기로 CIO와 CSO 외에도 전산과 보안조직을 총괄하는 CISO를 따로 두도록 권고했지만, 2년이 지난 지금까지 지켜지지 않고 있는 것이다. CIO는 IT 전산장비와 시스템 등 하드웨어를 관리한다면, CSO는 그 중에서도 정보보안의 핵심인 보안 소프트웨어를 담당하는 임원을 뜻한다. 금융회사들은 CIO가 CSO를 겸임해도 무방하다고 주장하지만, 보안 전문가들은 CIO가 보안까지 맡는 것은 무리라는 지적이다.

카드사 관계자는 "최근 금융사고가 빈발해 IT에 대한 관심이 높아졌지만, 평소에는 유지보수하는 일 외에 특별히 할 일이 없다"며 "보안만 담당하기 위해 임원을 둘 수는 없는 형편"이라고 말했다. 또 다른 카드사 관계자도 "CSO라는 '타이틀' 보다는 통제 및 정보보안 대책을 면밀히 마련하는 것이 중요하다"며 "농협에 CSO가 없어서 그런 사태가 발생한 것은 아니다"라고 답했다.

반면 보안 전문가들은 CSO가 있을 때와 없을 때 보안의 차이는 크다고 주장한다. 한 보안업계 관계자는 "보안 담당임원이 없으면 책임만 있고 권한이나 예산, 인력이 부족해 제대로 된 보안기능을 갖추기 어렵다"며 "제2금융권에서 가장 큰 규모의 돈이 오가는 카드업계가 이 정도면 여타 2금융권 회사들은 더 취약하다고 볼 수 있다"고 말했다.

◆당국ㆍ정치권 보안 강화 잰걸음 = 제도적 차원에서도 CSO 선임 의무화 및 보안과 관련된 내부통제 기능을 강화하는 규제 방안이 추진되고 있다.

지난달 말 이성헌 한나라당 의원 주도로 여야 국회의원 12명은 금융기관에 CSO 지정을 의무화하는 내용을 골자로 하는 '전자금융거래법 일부개정법률안'을 발의했다. 이 의원은 "금융회사에 대한 해킹 시도가 잦은 것으로 드러났는데도 불구하고 대부분의 금융회사가 전자금융거래의 안전성에 관해 관심을 갖지 않고 있다"며 "CSO 지정을 의무화해 전자금융거래의 안전성과 신뢰성을 확보해야 한다"고 밝혔다.

금감원도 민간 및 정부 전문가들로 구성된 'IT 보안 강화 테스크포스(TF)'를 구성하고 시중은행들에 비해 보안이 상대적으로 취약한 제 2금융권에 대한 개선책을 마련하고 있다. 주원식 금감원 IT서비스실장은 "규모가 작은 금융업체의 경우 인력 및 재원 부족을 이유로 (보안)내부통제의 부실을 방치하고 있다"며 "최고경영자(CEO)들이 관심을 갖고 보안에 대한 투자를 늘리도록 유도하는 한편, 다양한 개선방안을 마련할 것"이라고 말했다.

이지은 기자 leezn@
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>

이지은 기자 leezn@
<ⓒ아시아 대표 석간 '아시아경제' (www.newsva.co.kr) 무단전재 배포금지>

이 기사 어땠나요?

• 
  쏠쏠 0
• 
  공감 0
• 
  감동 0
• 
  유감 0
• 
  후속 0