특수문자 쓰고 연속 숫자 빼고…복잡한 비밀번호, 헤어질 결심

금융당국, '전자금융감독규정' 개정안 규정 변경 예고
금융회사의 금용보안체계 유연성과 자율성 강조
복잡하고 세세한 비밀번호 설정 규정을 단순화 등

금융당국이 금융보완 규제의 유연성과 자율성을 강화한다. 293개에 달하는 세세한 행위규칙(Rule)을 166개로 획기적으로 줄인다. 대표적으로 '동일 숫자·연속숫자·특수문자 사용 포함' 등 복잡한 사용자 비밀번호 설정 방식을 강제하던 규정이 사라진다.

금융위원회(금융위)는 1일 금융보안 규제를 '규칙(Rule) → 원칙(Principle) 중심'으로 개선해 금융권의 자율 보안 토대를 마련하고, 금융전산 복원력을 강화해 재해·전자적 침해 등으로부터 금융시스템을 안정적으로 보호하는 등 내용을 담은 '전자금융감독규정' 개정안의 규정 변경을 예고했다.

전자금융감독규정은 2006년 제정된 미시적 행위규칙 중심의 금융보안 규제를 현재까지 큰 틀에서 유지하고 있었다. 상황별 유연한 보안대응을 곤란하게 하고 금융회사의 소극적 행태를 초래한다는 지적이 있었다.

특히 AI(인공지능), 클라우드 등 기술변화·고도화되는 사이버 위협 등에 효과적으로 대응하려면 금융보안체계의 유연성 제고와 회복력 강화에 중점을 둔 제도 개선의 필요성이 제기됐다. 이에 금융보안 규제를 목표·원칙 중심으로 합리화해 금융회사의 자율적 판단 영역을 확대하고 적극적 보안투자를 이끌어 내기 위해 전자금융감독규정 개정안을 마련했다.

우선 금융회사 스스로 새로운 리스크에 유연하게 대응해 나갈 수 있도록 293개에 달하는 세세한 행위규칙을 166개로 획기적으로 줄였다. 규정 형식도 사전통제적·열거적 형식을 지양하고 원칙과 목적을 제시하는 방향으로 개선했다. 나머지 세세한 부분은 금융회사가 스스로 결정할 수 있도록 했다.

대표적으로 사용자 비밀번호 설정 방식을 구체적으로 특정하던 규정을 삭제하고 금융회사 스스로 안전하다고 판단되는 비밀번호와 인증수단 관리 방식을 도입할 수 있도록 허용했다.

현행 비밀번호 설정 관련 규정은 '주민등록번호·동일 숫자·연속숫자 등 제3자가 쉽게 유추할 수 있는 비밀번호의 등록 불가', '비밀번호는 아이디·생년월일·전화번호를 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합해 8자리 이상으로 설정' 등 매우 세부적이다.

금융당국은 비밀번호 설정 방식을 구체적으로 특정하는 건 오히려 보안에 뛰어난 다른 비밀번호 정책 채택을 제한할 수 있다고 판단했다. 또 다른 입법 사례와 비교해도 과도하며 생체정보 등 신기술을 활용한 인증수단 도입에도 장애로 작용한다고 봤다.

이에 '제3자가 쉽게 유추할 수 없는 비밀번호 작성 규칙 및 등록·변경 절차를 수립·운영할 것'처럼 규정을 단순하게 개선했다.

이 외에도 건물·설비·전산실 관리 및 각종 내부통제·사업 운영 등에 금융회사의 자율성을 대폭 확대했다.

2022년 카카오 데이터센터 화재 이후 재해·전자적 침해 등으로부터 금융전산 복원력 강화와 신속한 소비자 피해구제 필요성 등이 증대됐다. 이에 그간 규제 사각지대에 있던 일부 중소금융사와 전자금융업자에 재해복구센터 설치·업무복구 목표시간 설정 등이 의무화된다.

금융위는 전자금융감독규정 개정안의 규정 변경을 오는 3월1일까지 예고한다. 이후 금융위 의결 절차를 거쳐 공고 시부터 시행할 예정이다. 다만 재해복구센터 설치 등 일부 조항은 금융회사의 준비기간 등을 감안해 시행 시점을 일정 기간 유예하는 등 경과 규정을 마련한다.

이창섭 기자 thrivingfire21@mt.co.kr