“금융社 보안체계, 리스크 분석해 스스로 구축한다”

26일 ‘금융보안 규제 선진화 방안’ 발표
리스크 기반 ‘자율보안체계’ 구축

금융보안 규제 선진화 개선방안. 금융위원회 제공.

[파이낸셜뉴스]금융회사는 앞으로 보안리스크를 스스로 분석해 이에 맞는 ‘자율보안체계’를 수립해야 한다. 만약 적절한 자율보안체계가 구축되지 않으면 과징금, 손해배상 등 엄격한 사후책임을 진다.

금융당국은 26일 이같은 내용을 담은 ‘금융보안규제 선진화 방안’을 발표했다.

최근 업계에서는 클라우드, 빅데이터, 인공지능(AI) 등 디지털 신기술이 금융분야에서 활용됨에 따라 랜섬웨어, DDoS 공격 등 사이버 위협의 유형이 다변화돼 금융보안 체계를 새로운 IT환경에 맞게 개선해야 한다는 지적이 제기됐다. 금융보안 책임을 정보보호 부서에만 맡겨놓고 현업부서나 내부 감사조직 등을 모두 포함하는 전사적 차원의 금융보안 체계는 미흡하다는 비판도 나왔다.

특히 카카오 데이터센터 화재 등에서 파악할 수 있듯 빅테크 등 전자금융업자의 규모가 증가했음에도 불구하고 재해복구센터 설치 의무가 면제되어 있고 사고 시 보험 가입기준도 과거에 머물러 있어 금융회사가 수동적인 보안 활동에 그쳤다는 사회적 비판도 일었다.

이에 금융당국은 지난 20일 ‘제5차 금융규제혁신회의’를 열고 금융회사가 새로운 보안 리스크에 탄력적으로 대응할 수 있도록 ‘금융보안 규제 선진화 방안’을 의논하고 이날 개선 방향을 발표했다.

우선 보안리스크를 금융사 스스로가 분석하고 이에 비례해 보안방안을 직접 수립할 수 있도록 했다. 아울러 금융회사가 자율보안체계를 구축할 수 있도록 정보보호최고책임자(CISO)의 권한을 확대하고 이사회에 중요 보안사항을 보고하도록 의무화했다.

이로 따라 금융당국의 감독방식은 ‘보안규정 위반여부’에서 ‘자율보안체계 수립 검증’으로 전환된다. 금융회사 등이 업무 성격, 복잡성 등에 비례해 내부 보안리스크를 관리하는지 평가하고 이를 바탕으로 자율보안체계를 구축했는지 등을 주기적으로 검증한다는 것이다.

또 현재 금융사의 ‘안정성 확보 의무’를 인력, 조직, 예산, 내부통제, 시스템보안, 데이터 보호 등으로 구분해 주요 원칙을 법에 명시하기로 했다. 이를 위해 전자금융감독규정 중 필수 사항만 남기고 세부적으로 규율할 내용은 가이드라인으로 전환하기로 했다.

이와 함께 금융사들이 자율보안체계를 구축하지 않거나 보안사고가 발생할 경우 사후책임을 강화해 고의나 중과실에 의한 사고가 발생하면 과징금 등을 부여할 수 있도록 제도 신설을 검토하기로 했다.

금융당국은 내년 상반기 중에 ‘금융보안 규율체계 정비 TF’를 구성해 장기적 로드맵에 대한 검토를 시작하고 구체적인 시행일정도 함께 마련할 예정이다. TF에는 금융감독원, 금융보안원, IT 보안 전문가 등이 참여한다.