금융보안 규제, '원칙' 중심으로…전자금융감독규정 개정

금융위 의결…행위 규칙 293개→166개
전자금융업자 등도 재해복구센터 설치 의무화

[이데일리 김국배 기자] 금융위원회가 금융보안 규제를 행위 규칙(Rule)에서 원칙(Principle) 중심으로 개선하는 전자금융감독규정 일부개정 고시안을 5일 의결했다.

그간 금융권에선 전자금융 감독규정이 금융보안 기준을 행위 규칙으로 지나치게 세세하게 규정하고 있단 문제라는 지적이 있어왔다. ‘규정만 준수하면 면책’이라는 인식을 초래하고, 상황별로 유연하게 대응하기 어렵게 만든다는 것이다.

이번 개정으로 전자금융 감독규정을 원칙 중심으로 기술해 자율 보안체계를 구축할 수 있도록 유도한다. 293개에 달하는 세세한 행위 규칙은 166개로 정비했다. 건물·설비·전산실 관리, 각종 내부통제·사업운영 등과 관련해선 금융회사의 자율성을 대폭 확대했다. 또 정보보호최고책임자(CISO)가 정보보호위원회 주요 심의·의결 사항 등을 이사회에 보고하도록 내부 의사결정 체계를 개선했다.

향후 금융당국은 ‘자율보안-결과 책임’을 주요 내용으로 하는 디지털 금융보안법제를 마련함으로써 금융보안 패러다임을 자율보안 체계로 전환해 나간다는 계획이다.

또 이번 개정에 따라 현재 재해복구센터 설치가 의무화돼 있는 은행, 금융투자업자, 보험회사 외에 일정 규모를 갖춘 여신금융회사와 전자금융업자 등도 재해복구센터를 반드시 설치해야 한다. 지난 2022년 카카오 데이터센터 화재 이후 재해·전자적 침해 등으로부터 금융 전산 복원력 강화와 신속한 소비자 피해 구제 필요성이 제기된 바 있다. 아울러 금융 소비자 피해 구제 강화를 위해 전자금융 사고시 책임이행보험 등의 최저 보상한도도 상향된다.

이날 금융위원회에서 의결ㄹ된 전자금융 감독규정은 고시 후 즉시 시행된다. 다만 정보보호위원회 주요 심의·의결사항의 이사회 보고 관련한 규정은 금융회사 등의 내규 정비 기간 등을 고려해 고시한 날로부터 6개월 후인 오는 8월 5일부터 적용된다. 책임이행보험의 한도 상향과 재해복구센터 설치 관련 규정은 1년 후인 내년 2월 5일부터 적용된다.

김국배 (vermeer@edaily.co.kr)