금융위원회가 CISO(최고정보보호책임자)의 임기를 2년 이상 보장하는 전자금융거래법 개정안을 추진한다. CISO의 임명과 해임도 이사회 의결사항으로 둬 회사 내에서 독립성을 강화한다는 계획이다.
16일 금융권에 따르면 금융위는 연내 제출할 예정인 전금법 개정안에 CISO의 임기를 2년 이상 보장하는 조항을 포함할 예정이다. 현재 법에 규정된 CISO의 임면과 관련한 내용은 '임원'급으로 임명하라는 내용이 전부다.
금융위는 CISO의 임기 보장과 함께 임명과 해임을 이사회 의결사항으로 두는 방안도 개정안에 담을 예정이다. CEO(최고경영자)의 의사만으로 CISO의 임기나 임면 사항이 결정되지 않게 하겠다는 의도다.
최근 금융권에서는 연달아 일어난 정보보호 사고와 관련해 CISO의 권한이 지나치게 약하다는 지적이 제기됐다. 권한이 약한 CISO와 정보보호부서가 지적한 보안 미흡 사항을 실무 부서에서 제대로 개선하지 않고 있다는 설명이다.
이에 금융위는 CISO의 권한을 강화하겠다는 계획을 밝히고 구체적인 방안으로 CISO의 임기 보장을 꺼낸 것이다.
금융사 임원 가운데 법에 임기가 보장된 경우는 현재까지는 '준법감시인'이 유일하다. 2000년대 후반 글로벌 금융위기 이후 금융감독이 강화되면서 국내에서는 2016년 지배구조법이 개정되며 준법감시인의 임기를 2년 이상 보장하고 이사회가 의결토록 했다.
CISO와 함께 CCO(소비자보호책임자)의 임기도 향후 금융소비자보호법 개정으로 보장될 예정이다. 지난 9월 금융감독원은 '금융소비자보호 거버넌스 모범관행'을 발표하며 CCO의 임기 2년 보장과 이사회 임면 의결을 포함했다. 금감원은 향후 금융위와 협의해 금소법 개정에 모범관행 내용을 포함할 수 있도록 추진할 예정이라고 설명했다.
한편 전금법 개정안에는 보안확보 의무 위반으로 보안사고가 발생하면 징벌적 과징금과 보안 개선 이행강제금을 부과하는 근거도 포함될 예정이다. 아울러 보안 예산 공시 등도 강화된다.