금융보안 시스템 뜯어고친다

금융사 CEO 책임 강화… 해킹 사고땐 업무정지도

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


금융위, 종합대책 발표

앞으로 금융사 최고경영자(CEO)가 연간 정보기술(IT) 보안계획을 직접 승인하고 그에 따른 책임을 져야한다. 정보보호최고책임자(CISO) 지정도 의무화된다.

IT 보안 사고에 대한 처벌수위도 한층 강화돼 공익침해 정도가 중대하면 해당 금융회사를 업무정지시킬 수 있도록 법적 근거도 마련할 예정이다. 해킹 사고에 대해 금융사가 손해배상 책임을 지도록 전자금융거래법 개정도 추진한다.

금융위원회는 23일 이같은 내용을 골자로 한 `금융회사 IT 보안강화 종합대책'을 발표했다.

이번 종합대책은 △IT 조직역량 강화 △감독 검사 강화, 제도개선 △보안기술 인프라와 내부통제 개선 △아웃소싱 관리 개선 △사고대응 복구 체계 강화 등으로 이뤄졌다.

우선 IT 보안 조직역량을 키우기 위해 CEO가 연간 IT 보안계획을 직접 승인하고 그 이행여부를 확인토록 추진한다. 임원성과평가와도 연계하도록 유도할 방침이다. 전자금융거래법령을 개정해 CISO 지정을 의무화하고 그 업무범위와 자격요건도 명시할 예정이다.

IT 보안인력비율과 예산비율도 일정 수준 이상 유지토록 의무화하고 준수여부를 경영실태평가에 반영키로 했다. 다만 구체적 비율 수준은 총자산규모, 직원 수, 전자금융거래규모, 고객 수, 국제기준 등을 감안해 결정하되 로드맵에 따라 단계적으로 높여 나갈 계획이다.

감독검사 강화방안으로는 제재 수위를 올려 사고를 일으킨 금융회사에 대해 업무정지 조치를 내릴 수 있도록 법적 근거를 신설할 방침이다. 또 여신전문금융회사, 금융관련협회(은행연합회, 생ㆍ손보협회) 등도 IT부문 실태평가대상에 포함시키기로 했다.

해커에 대한 처벌 근거도 명문화해 전자금융거래법에 침해행위 금지의무와 처벌조항을 신설하고 사고보고 범위, 절차 등에 대해서도 명확한 가이드라인을 만들기로 했다.

또 해킹사고 시에 책임 여부가 불분명했던 점을 개선해 금융회사가 손해배상 책임을 질 수 있도록 전자금융거래법 개정을 추진한다. 필요시 보상한도 상향 조정도 검토한다.

보안기술 인프라 개선 방안으로는 안전한 내부망 구간에만 데이터베이스(DB)를 설치 운영토록 하고 인터넷망과 업무망의 분리를 단계적으로 유도하는 방안 등이 추진된다.

아웃소싱 관리 개선책으로는 외부주문업자를 전자금융보조업자에 포함시켜 금융회사가 책임을 지도록 하는 안이 추진된다. 사고대응 복구 체계 강화를 위해서는 금융 정보공유분석센터(ISAC) 참가 대상을 비은행 비증권 중소금융회사로 확대한다. 또 해킹 유형과 사고 정보에 대한 실시간 공유 등을 위해 `금융회사 IT보안 지식공유센터'도 운영한다.

금융당국은 오는 8월 중 전산사고 예방에 필요한 최소한의 IT보안업무 처리절차를 위해 `금융회사 IT보안업무 모범규준'을 마련해 시행할 계획이라고 밝혔다.

또 우선 전자금융감독규정과 시행세칙 개정으로 반영할 수 있는 사항은 즉시 개정에 착수해 조속히 시행할 계획이다. 전자금융거래법령 개정도 최대한 신속하게 추진한다는 목표다.

하지만 이번 종합대책에 대해 일각에서는 사후관리에만 초점을 맞춘 사후약방문이라는 비판도 제기됐다. 선제적인 보안관리에 있어 반드시 필요한 사안들이 상당부분 제외됐다는 지적이다.

염흥열 한국정보보호학회장은 "CEO의 책임 강화와 보안 인력 확보 등도 중요하지만, 금융기관별 국제표준 보안관리체계의 구축ㆍ운영이 선제적으로 이뤄져야 한다"며 "보안관리체계 운영은 일정 규모 이상의 금융기관에 대해 국제 표준 방식으로 전사적으로 의무적으로 수행하는 것이 필요하다"고 밝혔다. 또 "고객 개인정보가 유출이 된 침해사고에 대해서는 의무 신고 조항을 새롭게 만들어야 한다"며 "미국 등 선진국에서도 법 개정을 추진중에 있다"고 설명했다.

길재식기자 osolgil@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


추천기사