총자산 2조원, 종업원 300명 이상 시 임원급 CISO 지정해야

전자금융거래법 시행령 개정이 추진됨에 따라 금융권에 새로 도입되는 정보보호최고책임자(CISO: Chief Information Security Officer)지정제도의 구체적인 윤곽이 드러났다. 금융위가 최근 CISO를 임원으로 정하는 회사 규모(안 제12조 제1항), CISO의 자격요건(안 제12조 제2항) 부문을 공표한 것이다.

전자금융거래법 제21조의2 제1항에 의해 총자산 2조원 이상이면서 종업원 수가 300명 이상인 금융회사·전자금융업자는 CISO를 임원(상법상 집행임원 포함)으로 지정해야 한다. 금융위에 따르면, CISO를 지정해야 하는 금융사는 전체 금융회사 중 약 23%(단위신협 제외)가 해당된다.

현재 금융사들 대부분이 부행장 또는 CIO가 CSIO를 겸임하고 있거나 임원급 CSIO를 두고 있는 곳이 거의 없는 만큼, 금융권 임원급 CISO를 선임하기 위한 움직임이 본격화 될 전망이다. 더불어 금융 정보보호 기술과 정책 전반을 아우를 CSIO가 될 만한 인물이 많지 않은 것으로 알려져 외부 전문가를 영입할지, 내부 인력 가운데 차출을 할지를 놓고도 현재 많은 금융사들이 고민하고 있는 것으로 알려지고 있다.

금융권 CISO의 자격요건은 ▲ 유관 학위·자격 소지 시, 유관 학사학위 + 2년 이상의 정보보호경력 또는 3년 이상 정보기술 경력을 보유해야 하며 ▲ 무관 학위·자격 소지 시, 학사학위 + 4년 이상의 정보보호경력 또는 5년 이상 정보기술 경력을 보유해야 한다.

본 전자금융거래법 시행령은 11.18일부터 12.8일까지 입법예고되며 12월~'12.1월까지 규개위, 법제처 심사 등을 거쳐 '12.5.15부터 시행될 예정이다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지