[금융소비자뉴스 이성은 기자] 앞으로 금융사들은 보안사고가 발생하면 기존보다 무거운 사후 책임을 지게 된다.
금융위원회·금융감독원·금융보안원은 정보기술(IT) 환경의 변화에 따른 보안 리스크에 대응하기 위해 이런 내용의 금융보안 규제 선진화 방안을 마련했다고 27일 밝혔다.
금융당국은 보안 거버넌스를 개선해 금융사가 전사적 차원에서 금융보안을 준수하고, 자율보안체계를 구축하도록 유도할 계획이다. 이를 위해 정보보호최고책임자(CISO)의 권한을 확대하고 중요 보안 사항을 이사회에 의무적으로 보고하도록 할 방침이다.
또한 금융사가 ‘자율보안체계’로 전환하도록 해 보안리스크를 스스로 분석·평가 후 리스크 보완방안을 마련하도록 유도키로 했다.
금융사가 자율보안체계를 구축하지 않거나, 보안 사고가 발생한 경우에는 그에 따른 사후책임을 강화한다. 국제기준 등을 고려해 고의·중과실에 의한 사고 발생 시 과징금 등의 제도를 신설한다.
전자금융감독규정 규제를 목표·원칙 중심으로 전환하고, 세부 보안 규정은 가이드라인 또는 해설서를 마련한다. 이는 그동안 금융사들이 규정상에 있는 보안 의무만 수동적으로 준수하던 관행을 개선하기 위한 것이다.
특히 금융당국은 카카오 데이터 센터 화재 사고에 대한 후속 조치로, 일정 규모 이상의 전자금융업자에게 재해복구 센터 설치 의무를 두는 방안, 전자금융 사고 시 책임 이행을 위한 보험금 가입 기준을 상향하는 방안 등도 검토할 예정이다.
금융당국의 관리·감독 방식은 기존 보안규정 위반 여부를 감독하던 방식에서 벗어나 자율보안체계 수립·이행 여부를 검증하는 방향으로 바뀐다.
아울러 금융사들이 보안 거버넌스 구축을 위한 기술을 공유하고 인력 양성 교육을 받을 수 있도록 금융당국의 지원·컨설팅도 강화할 계획이다.
금융위원회는 "내년 상반기 중 금융보안 규율체계 정비 TF를 구성해 장기적 로드맵에 대한 검토를 시작하겠다"며 "1~3단계 로드맵 검토와 함께 구체적인 시행 일정도 마련할 예정"이라고 말했다.
