전자금융거래시 보안프로그램 설치 의무조항도 삭제
금융사 자체 보안 강화
CISO가 매월 점검해야
전자금융감독규정 시행
핀테크 활성화 등을 위해 개정된 새로운 전자금융감독규정이 2월 3일부터 적용되기 시작했다.
이번 시행에 따라 IBK기업은행, KDB산업은행, 신용보증기금, 수출입은행 등 공공금융기관이 보안성심의 대상에서 제외됐으며 보안 프로그램 설치 의무 규정도 사라졌다.
금융위원회, 금융감독원 관계들에 따르면 금융당국이 전자금융감독규정을 개정해 3일부터 시행에 들어갔다.
우선 금융당국은 규정 36조 보안성심의 관련 내용을 개정했다. 금융당국은 전자금융거래와 관련해 KDB산업은행, IBK기업은행, 거래소, 한국예탁결제원, 신용보증기금, 기술보증기금을 보안성심의 대상에서 제외했다. 이와 함께 우체국금융, 새마을금고, 수출입은행, '공공기관의 운영에 관한 법률'에 따른 공공기관도 보안성심의를 요구하지 않는다.
금융당국은 이들 기관이 공공기관으로 다른 법규상 보안성검토를 받는 점을 감안해 금융당국의 보안성심의에서 제외했다. 보안성검토는 자체 보안에 초점을 맞추고 있고 보안성심의는 자체 보안과 전자금융거래 안정성을 포함하고 있어 이번 개정으로 공공금융기관들은 금융서비스 부문에서 규제를 덜 받게 된다.
앞서 금융당국은 올해 업무계획에서 보안성심의 제도를 폐지할 의사를 밝힌 바 있다. 이번에 금융공공기관을 대상으로 우선 폐지하고 차후 전 금융기관에 대한 보안성심의 규정도 삭제될 것으로 예상된다.
또 금융당국은 이번 개정으로 전자금융거래 시 보안 프로그램을 설치해야 한다는 조항도 삭제됐다. 금융거래 시 각종 보안 프로그램을 설치할 의무가 해지된 것이다.
대신 금융당국은 자율적인 보안 강화 내용을 규정에 반영했다. 금융당국은 공개용 웹서버에 대한 SQL 인젝션, 업로드 취약점, 취약한 세션관리, 악의적 명령 실행 등에 대응하라고 구체적으로 명시했던 내용을 포괄적으로 바꿨다.
또 금융회사들이 자율적으로 단말기 보호대책을 마련하도록 했으며 전자금융거래 수단이 되는 매체와 거래인증수단이 되는 매체를 분리하도록 한 조항도 삭제했다.
금융당국은 새로운 규정에서 자율 보안 강화를 위해 정보보호최고책임자(CISO)가 정보보안점검의 날을 지정하고, 임직원이 금융감독원장이 정하는 정보보안 점검항목을 준수했는지 여부를 매월 점검해 그 결과 및 보완 계획을 최고경영자(CEO)에게 보고하도록 했다. 다만 이 내용은 4월 16일부터 적용된다.
금융권은 금융당국이 전자금융 규제 완화를 공언한 만큼 앞으로 더 많은 규정이 정비될 것으로 보고 있다. 하지만 금융권 현장에서는 당분간 현재 금융보안 기조가 유지될 것으로 보인다. 금융회사들이 사고 위험성과 책임소재 등을 우려하고 있기 때문이다.
한 금융지주 관계자는 "보안 프로그램 설치 의무 규정이 폐지됐다고 하지만 대안이 나올 때까지는 당분 간 기존 방식이 유지되지 않겠느냐"고 말했다. 한 은행 관계자는 "바뀌는 제도에 따라 고민을 하고 있다"며 "자율이라고 하지만 보안 프로그램 등을 사용 안 했다가 문제가 생기면 책임이 따를 수 있어 조심스럽다"고 말했다.
강진규기자 kjk@dt.co.kr
금융사 자체 보안 강화
CISO가 매월 점검해야
전자금융감독규정 시행
핀테크 활성화 등을 위해 개정된 새로운 전자금융감독규정이 2월 3일부터 적용되기 시작했다.
이번 시행에 따라 IBK기업은행, KDB산업은행, 신용보증기금, 수출입은행 등 공공금융기관이 보안성심의 대상에서 제외됐으며 보안 프로그램 설치 의무 규정도 사라졌다.
금융위원회, 금융감독원 관계들에 따르면 금융당국이 전자금융감독규정을 개정해 3일부터 시행에 들어갔다.
우선 금융당국은 규정 36조 보안성심의 관련 내용을 개정했다. 금융당국은 전자금융거래와 관련해 KDB산업은행, IBK기업은행, 거래소, 한국예탁결제원, 신용보증기금, 기술보증기금을 보안성심의 대상에서 제외했다. 이와 함께 우체국금융, 새마을금고, 수출입은행, '공공기관의 운영에 관한 법률'에 따른 공공기관도 보안성심의를 요구하지 않는다.
금융당국은 이들 기관이 공공기관으로 다른 법규상 보안성검토를 받는 점을 감안해 금융당국의 보안성심의에서 제외했다. 보안성검토는 자체 보안에 초점을 맞추고 있고 보안성심의는 자체 보안과 전자금융거래 안정성을 포함하고 있어 이번 개정으로 공공금융기관들은 금융서비스 부문에서 규제를 덜 받게 된다.
앞서 금융당국은 올해 업무계획에서 보안성심의 제도를 폐지할 의사를 밝힌 바 있다. 이번에 금융공공기관을 대상으로 우선 폐지하고 차후 전 금융기관에 대한 보안성심의 규정도 삭제될 것으로 예상된다.
또 금융당국은 이번 개정으로 전자금융거래 시 보안 프로그램을 설치해야 한다는 조항도 삭제됐다. 금융거래 시 각종 보안 프로그램을 설치할 의무가 해지된 것이다.
대신 금융당국은 자율적인 보안 강화 내용을 규정에 반영했다. 금융당국은 공개용 웹서버에 대한 SQL 인젝션, 업로드 취약점, 취약한 세션관리, 악의적 명령 실행 등에 대응하라고 구체적으로 명시했던 내용을 포괄적으로 바꿨다.
또 금융회사들이 자율적으로 단말기 보호대책을 마련하도록 했으며 전자금융거래 수단이 되는 매체와 거래인증수단이 되는 매체를 분리하도록 한 조항도 삭제했다.
금융당국은 새로운 규정에서 자율 보안 강화를 위해 정보보호최고책임자(CISO)가 정보보안점검의 날을 지정하고, 임직원이 금융감독원장이 정하는 정보보안 점검항목을 준수했는지 여부를 매월 점검해 그 결과 및 보완 계획을 최고경영자(CEO)에게 보고하도록 했다. 다만 이 내용은 4월 16일부터 적용된다.
금융권은 금융당국이 전자금융 규제 완화를 공언한 만큼 앞으로 더 많은 규정이 정비될 것으로 보고 있다. 하지만 금융권 현장에서는 당분간 현재 금융보안 기조가 유지될 것으로 보인다. 금융회사들이 사고 위험성과 책임소재 등을 우려하고 있기 때문이다.
한 금융지주 관계자는 "보안 프로그램 설치 의무 규정이 폐지됐다고 하지만 대안이 나올 때까지는 당분 간 기존 방식이 유지되지 않겠느냐"고 말했다. 한 은행 관계자는 "바뀌는 제도에 따라 고민을 하고 있다"며 "자율이라고 하지만 보안 프로그램 등을 사용 안 했다가 문제가 생기면 책임이 따를 수 있어 조심스럽다"고 말했다.
강진규기자 kjk@dt.co.kr
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0