금융사 보안사고 과징금 물린다

자율보안체계 사후책임 강화

금융회사는 앞으로 보안리스크를 스스로 분석해 자율보안체계를 수립해야 한다. 적절한 자율보안체계를 구축하지 않으면 과징금, 손해배상 등의 사후책임을 져야한다.

금융위원회는 27일 이같은 내용을 담은 금융보안규제 선진화 방안을 발표했다.

이 방안에 따르면 금융사가 스스로 보안리스크를 분석하고 이에 비례해 보안방안을 직접 수립해야 한다. 금융회사가 자율보안체계를 구축할 수 있도록 정보보호최고책임자(CISO)의 권한을 확대하고 이사회에 중요 보안사항을 보고하도록 의무화했다.

금융당국의 감독방식은 보안규정 위반 여부에서 자율보안체계 수립 검증으로 전환된다. 금융회사 등이 업무 성격, 복잡성 등에 비례해 내부 보안리스크를 관리하는지 평가하고 이를 바탕으로 자율보안체계를 구축했는지 등을 주기적으로 검증한다는 것이다.

현재 금융사의 안정성 확보 의무를 인력·조직·예산·내부통제·시스템 보안·데이터 보호 등으로 구분, 법에 명시하기로 했다. 이를 위해 전자금융감독규정 중 필수 사항만 남기고 세부적으로 규율할 내용은 가이드라인으로 전환한다.

금융사들이 자율보안체계를 구축하지 않거나 보안사고가 발생할 경우 사후책임도 강화된다. 이를 위해 고의나 중과실에 의한 사고가 발생하면 과징금 등을 부여할 수 있는 제도를 신설한다.

금융위는 내년 상반기 중에 금융보안 규율체계 정비 태스크포스(TF)를 구성해 장기적 로드맵에 대한 검토를 시작한다. TF에는 금융감독원, 금융보안원, IT 보안 전문가 등이 참여한다.

최근 업계에선 랜섬웨어, DDoS 공격 등 사이버 위협의 유형이 다변화돼 금융보안 체계를 새로운 IT환경에 맞게 개선해야 한다는 지적이 제기됐다. 금융보안 책임을 정보보호 부서에만 맡겨놓고 현업부서나 내부 감사조직 등을 모두 포함하는 전사적 차원의 금융보안 체계는 미흡하다는 비판도 나왔다.

특히 카카오 데이터센터 화재 등에서 파악할 수 있듯 빅테크 등 전자금융업자의 규모가 증가했으나 재해복구센터 설치 의무가 없다.

사고 시 보험 가입기준도 과거에 머물러 있어 금융회사가 수동적인 보안 활동에 그쳤다는 비판도 일었다.