'금융보안규제 선진화 방안' 발표
고의·중과실 사고 과징금 신설 검토
김주현(가운데) 금융위원장이 20일 서울 중구 은행회관에서 열린 제5차 규제혁신회의에 참석해 발언하고 있다. 왼쪽부터 이복현 금융감독원장, 김 위원장, 김소영 금융위원회 부위원장. 연합뉴스
금융당국의 금융보안 관리ㆍ감독 방식이 자율ㆍ책임 원칙으로 전환된다. 각 사에 맞는 보안체계를 구축하도록 하되, 결과에 대한 엄격한 사후 책임을 물어 자율성과 책임을 동시에 강화하겠다는 구상이다.
금융위원회와 금융감독원은 27일 이 같은 내용의 ‘금융보안규제 선진화 방안’을 발표했다. 랜섬웨어, 디도스(DDos) 공격 등 사이버 위협의 유형이 다변화하고, 비(非)금융 부문의 사고가 금융 부문으로 전이되는 ‘제3자 리스크’가 심화하고 있다는 판단이 배경으로 작용했다. 10월 발생한 카카오 데이터센터 화재가 대표적이다.
먼저 금융회사 등이 전사적 차원에서 금융보안을 준수하고, 자체 리스크 분석에 기반한 ‘자율보안체계’를 구축할 수 있도록 규율체계를 개선하기로 했다. 정보보호최고책임자(CISO) 권한을 확대하고, 중요 보안사항을 이사회에 의무적으로 보고토록 해 금융보안을 기업의 핵심가치로 끌어올리겠다는 의지다.
현행 미시적ㆍ사전통제적 보안규제는 목표ㆍ원칙 위주로 바꾼다. 전자금융거래법상 안전성 확보 의무를 △인력ㆍ조직ㆍ예산 △내부통제 △시스템 보안 △데이터 보호 등으로 구분해 주요 원칙과 목표만 명시하고 세부 사항은 폐지한다. 법과 규정에 나열된 보안의무만 수동적으로 지켜온 관행을 깨기 위해서다.
대신 자율보안체계를 구축하지 않거나, 보안사고가 발생한 경우 그에 따른 사후책임을 강화한다. 특히 고의ㆍ중과실에 의한 사고에 대해선 과징금 등 제도 신설을 검토할 예정이다. 카카오 데이터 센터 화재 사고와 관련해선 △일정 규모 이상의 전자금융업자에 재해복구 센터 설치 의무 신설 △전자금융 사고 시 책임 이행을 위한 보험금 가입 기준 상향 등이 후속 조치로 거론됐다.
금융당국의 관리 방식도 기존 보안규정 위반 여부를 감독하던 방식에서 벗어나 자율보안체계 수립ㆍ이행을 검증하는 방향으로 바뀌게 된다. 금융사들의 보안 거버넌스 구축을 위한 지원ㆍ컨설팅도 강화할 계획이다. 금융당국 관계자는 “내년 상반기 중 ‘금융보안 규율체계 정비 태스크포스’를 구성해 장기적 로드맵을 검토하고 구체적 시행 일정을 마련하겠다”고 설명했다.
한편 이날 이명순 금감원 수석부원장은 15개 은행 부행장과 간담회를 열고 전산사고 예방을 위해 보다 진전된 IT내부통제 체계를 갖출 것을 당부했다. 그러면서 ①전산사고로 대고객서비스가 3시간 이상 중단될 경우 즉각 현장 점검에 착수해 피해소비자에 대한 안내와 보상이 제대로 이뤄지는지 살피고 ②손해배상 조항을 추가하는 등 연계서비스 안전성을 제고하고 ③IT내부통제 소홀로 전산사고를 일으킨 금융회사는 엄중 조치하겠다고 향후 검사 방향을 설명했다.
기사 URL이 복사되었습니다.
댓글0