총자산 2조원, 종업원 300명 이상 시 임원급 CISO 지정해야
전자금융거래법 제21조의2 제1항에 의해 총자산 2조원 이상이면서 종업원 수가 300명 이상인 금융회사·전자금융업자는 CISO를 임원(상법상 집행임원 포함)으로 지정해야 한다. 금융위에 따르면, CISO를 지정해야 하는 금융사는 전체 금융회사 중 약 23%(단위신협 제외)가 해당된다.
현재 금융사들 대부분이 부행장 또는 CIO가 CSIO를 겸임하고 있거나 임원급 CSIO를 두고 있는 곳이 거의 없는 만큼, 금융권 임원급 CISO를 선임하기 위한 움직임이 본격화 될 전망이다. 더불어 금융 정보보호 기술과 정책 전반을 아우를 CSIO가 될 만한 인물이 많지 않은 것으로 알려져 외부 전문가를 영입할지, 내부 인력 가운데 차출을 할지를 놓고도 현재 많은 금융사들이 고민하고 있는 것으로 알려지고 있다.
금융권 CISO의 자격요건은 ▲ 유관 학위·자격 소지 시, 유관 학사학위 + 2년 이상의 정보보호경력 또는 3년 이상 정보기술 경력을 보유해야 하며 ▲ 무관 학위·자격 소지 시, 학사학위 + 4년 이상의 정보보호경력 또는 5년 이상 정보기술 경력을 보유해야 한다.
본 전자금융거래법 시행령은 11.18일부터 12.8일까지 입법예고되며 12월~'12.1월까지 규개위, 법제처 심사 등을 거쳐 '12.5.15부터 시행될 예정이다.
김정은 기자
jekim92@itdaily.kr