전업 카드사 8곳 전체 임원 중 IT 담당 19%
해킹 방어 등 정보보안 전문가는 '3%'에 그쳐
"리스크 제어할 보안전략 지휘 권한 보장 필요"
잇따른 정보기술(IT) 사고로 카드회사들이 진통을 겪고 있지만 정보보안 담당 임원 수는 부족하고 직급도 낮다는 지적이 나온다. 보안 전문 임원을 충원하고 최고정보보호책임자(CISO) 아래 강력한 조직과 보고 라인을 갖춘 미국, 영국 등 해외 사례를 참고해야 한다는 조언이다.
IT 임원 46명 중 보안 담당은 단 8명
6일 국내 전업 카드사 8곳(삼성·신한·현대·KB국민·롯데·우리·하나·BC카드)이 공시한 1분기 말 기준 분기보고서를 분석한 결과, 전체 임원 245명 중 IT 관련 임원은 46명으로 19%를 차지했다. 반면 이 중 정보보안 임원은 8개사 모두 각 1명에 불과해 전체 임원 대비 비중은 3%에 그쳤다. 직급별로 보면 7명은 상무급이었으며, 1명은 본부장 직무대행이었다.
카드사 내 IT 관련 조직은 크게 정보보안, IT 운영, 소비자보호 부문 등으로 나뉜다. 관련 임원 46명 중 AX(인공지능 전환), DX(디지털 전환), 플랫폼, 디지털혁신 등 수익성 제고 업무를 담당하는 일반 IT 임원은 38명(83%)에 달했으나, 해킹 방어 등 리스크 관리를 맡는 정보보안 임원은 8명(17%)에 불과했다.
최고경영자(CEO)와 사외이사 중에서도 정보보안 전문가는 찾기 힘들었다. 카드사 대표이사들은 주로 경영·경제·재무·행정·정치외교학 등을 전공했으며, 사외이사 역시 대부분 경영·경제학 전공자나 법학·세무회계·행정학 전문가로 구성됐다. 최재붕 신한카드 사외이사(기계공학), 문용마 롯데카드 사외이사(산업공학), 유혁 BC카드 사외이사(컴퓨터공학) 등 공학 전공자를 선임한 사례는 있었으나, 금융권 사이버 보안이나 정보보호 실무 경력을 갖춘 전문 인력을 사외이사로 둔 사례는 드물었다.
학계 "최소 기준만 충족하는 '윈도드레싱' 경영" 지적
학계에서는 카드사의 정보보안 임원 수가 부족할 뿐만 아니라 조직 내 권한도 미약하다는 지적이 나온다. 일반 IT 임원들이 수익성 중심의 사업을 전면에 내세우는 상황에서 상무급 정보보안 임원 한 명이 이사회나 경영진 회의에서 보안 예산 증액을 과감하게 요구하기 어렵다는 비판이다.
개인정보보호법 시행령 제32조는 연매출 1500억원 이상 기업 중 100만명 이상의 개인정보를 처리하거나 5만명 이상의 민감정보 또는 고유식별정보를 처리하는 기업은 전문 개인정보보호책임자(CPO)를 지정하도록 규정한다. 다만 직급이 전무급, 부사장급 이상이어야 한다는 조항은 없다. 이 때문에 금융사들이 최소한의 법적 기준만 충족하기 위해 임원 중 가장 낮은 직급으로 정보보안 책임자를 임명해두는 일종의 '윈도드레싱(Window Dressing·보여주기식)' 경영을 하고 있다는 비판이 제기된다.
채상미 이화여대 경영학부 교수는 "인력 확보와 비용 부담이 따르는 건 사실이지만 경영 시스템이 고도화될수록 이사회나 경영진 회의에서 수익성 사업에 제동을 걸 수 있는 정보보안 전문 임원이 절대적으로 필요하다"며 "예산 집행 효율성을 담보하고 전사적 보안 전략을 지휘할 정보보안 임원을 확보하는 게 가장 시의적절하고 근본적인 대책"이라고 말했다.
이어 "회사당 한 명뿐인 보안 책임자가 상무급이거나 본부장 직무대행에 불과하다면 의사결정 과정에서 심각한 한계가 따를 수밖에 없다"며 "전무급 이상이 이끄는 마케팅·영업 부서가 수익성 제고를 이유로 보안 절차 간소화를 요구할 때 상무나 본부장 직무대행이 이를 강력하게 제지하는 건 금융사 조직 생리상 불가능에 가깝다"고 덧붙였다.
업계 "지주·오너사 지배구조 고려해야…보고 라인 더 중요"
반면 카드업계에서는 모기업과 그룹이 금융지주 계열이거나 대기업(오너) 계열이라는 경영 현실을 감안해야 한다고 설명한다. 특히 지주 계열이나 대기업 계열인 금융사는 임원 수가 한정돼 있으며 각 금융사는 자사 규모와 조직에 맞게 정보보안 임원을 유지하고 있다는 입장이다. 아울러 정보보안 임원의 직급을 인위적으로 높인다고 해서 회사의 보안 수준이 정비례해 향상되는 것은 아니라고 주장한다.
카드업계 관계자는 "카드사들은 정보보안 예산 확대나 조직 개편에 머무르지 않고 기술 및 전략 투자를 병행하고 있다"며 "정보보안 책임자가 상무급이라 하더라도 최고경영자(CEO)의 경영 방향에 맞춰 충분히 독립적인 의견을 개진하고 있다"고 전했다.
조직 내 정보보안 책임자의 실질적인 위상과 강력한 보고 라인을 갖추는 것이 본질이라는 의견도 나온다. 단순히 임원 수를 늘리는 것보다 전문성을 가진 임원에게 명확한 책임과 권한을 부여하는 방식으로 운용의 묘를 살리는 게 효율적이라는 지적이다.
꼭 봐야 할 주요 뉴스
"삼전닉스 2배 벌자" 개미들, 반도체ETF 팔고 '삼...
서지용 상명대 경영학부 교수는 "미국·영국·일본 등에선 한 명의 CISO를 두되 그 아래 강력한 조직과 이사회 보고 라인을 갖추는 형태로 회사를 운영하는 게 일반적"이라며 "정보보안 책임자의 직급 자체보다는 조직 내 실질적인 권한과 독자적인 보고 라인이 어떻게 짜여 있는지가 더 중요하다"고 분석했다.
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
![사상 최대 실적인데 신저가 직전인 이 업종[주末머니]](https://cwcontent.asiae.co.kr/asiaresize/308/2024041916471545929_1713512835.jpg)
![중동전쟁 끝나야 이득 보는 방산주가 있다고? [주末머니]](https://cwcontent.asiae.co.kr/asiaresize/308/2026032709021593001_1774569735.jpg)
![[짜발량이]13년 정몽규 회장 시대 마감하는 축구협회](https://cwcontent.asiae.co.kr/asiaresize/308/2026060514422393427A.jpg)
![[기자수첩]K팝 보러 도쿄돔 가는 K팝 종주국](https://cwcontent.asiae.co.kr/asiaresize/308/2026060511145520213A.jpg)
![[초동시각]막아야 할 중복상장...기업성장까지 막아선 안돼](https://cwcontent.asiae.co.kr/asiaresize/308/2026060509060144786A.jpg)
!["한 상대에게 올인하지 않았다"…연애도 '분산투자'한 벨루가의 비밀[실험노트]](https://cwcontent.asiae.co.kr/asiaresize/309/2026060514012689251_1780635686.png)
!["심장아 나대지마, 설레면 피곤해져" 짝사랑도 불황입니다[세계는Z금]](https://cwcontent.asiae.co.kr/asiaresize/307/2026060508335888548_1780616038.png)
![[단독]회생·파산 전 신복위 채무조정 먼저 거친다…'채무조정 전치주의' 입법 추진](https://cwcontent.asiae.co.kr/asiaresize/307/2022102710072884384_1666832847.jpg)