금융위원회. 연합뉴스
금융위원회·금융감독원·금융보안원은 27일 ‘금융보안 규제 선진화 방안’을 발표했다. 금융당국은 보안 규율체계를 개선해 금융사가 전사적 차원에서 보안을 준수하고 리스크 기반의 자율보안체계를 구축할 수 있도록 유도할 방침이다. 규제는 사후책임 중심으로 전환하고, 금융보안 전문기관이 금융사의 보안체계를 검증하고 컨설팅할 수 있도록 지원 기능을 강화한다.
금융당국은 정보보호최고책임자(CISO)의 권한을 확대하고 중요 보안 사항을 이사회에 의무적으로 보고하게 한다. 또 금융사가 ‘자율보안체계’로 전환하도록 해 보안리스크를 스스로 분석·평가 후 보완 방안을 마련하게 한다.
보안 규제도 정비한다. 자율보안체계를 구축하지 않은 금융사, 보안사고를 낸 금융사에 사후 책임을 강하게 묻는다. 고의 또는 중과실에 의한 사고가 발생 땐 국제 기준을 고려해 과징금을 부과하는 등의 제도 신설도 검토한다.
전자금융감독규정 규제는 목표·원칙 중심으로 전환하고 세부 보안 규정은 가이드라인 또는 해설서로 마련한다. 금융사들이 규정에 있는 의무만 수동적으로 준수하던 관행을 개선하기 위한 것이다.
금융당국은 카카오 데이터 센터 화재 사고에 대한 후속 조치로 일정 규모 이상의 전자금융업자에게 재해복구 센터 설치 의무를 두는 방안, 전자금융 사고 시 책임 이행을 위한 보험금 가입 기준을 상향하는 방안 등도 검토한다.
관리·감독은 기존 보안규정 위반 여부를 감독하던 방식에서 벗어나 자율보안체계 수립·이행 여부를 검증하는 방향으로 전환한다. 또 금융사들이 보안 체계 구축을 위한 기술을 공유하고 인력 양성 교육을 받을 수 있게 한다.
한편 이날 이명순 금융감독원 수석부원장은 15개 은행 부행장들과 만나 ‘IT내부통제 운영현황 및 강화방안’을 논의했다. 이날 금감원은 향후 전산사고로 3시간 이상 서비스가 중단될 경우 현장 점검 착수, IT 내부통제 소홀로 전산사고 일으킨 금융사 엄중 조치 등의 방침을 밝혔다.
강신 기자
