금융보안 규제 강화된다…금융사 ‘자율보안체계’ 전환

ⓒ금융위원회

금융당국이 IT환경과 새로운 보안 리스크에 금융회사 등이 탄력적으로 대응할 수 있도록 금융보안 규제 선진화 방안을 구축하기로 했다.

금융위원회는 27일 금융회사 등이 전사적 차원에서 금융보안을 준수하고, 자율보안체계를 구축할 수 있도록 규율체계를 개선하겠다고 밝혔다.

이는 급변하는 IT환경을 신속하게 반영하지 못하는 경직적 규정으로 인해 새로운 리스크에 효과적으로 대응하기 곤란하다는 현 상황을 반영한 것이다. 금융위는 또 보안규정 준수가 금융회사 등의 보안 목표로 인식돼, 수동적인 보안 활동에 머무르는 한계가 있다고 봤다.

따라서 금융위는 정보보호최고책임자(CISO)의 권한을 확대하고, 중요 보안사항의 이사회 보고 의무화 등을 통해 금융보안을 기업의 핵심가치로 제고하겠다는 목표다.

이를 위해 금융회사 등이 보안리스크를 스스로 분석‧평가하고, 리스크에 비례해 보안방안을 수립할 수 있도록 리스크 기반의 목표·원칙중심, 사후책임 중심의 ‘자율보안체계’로 전환을 추진한다는 계획이다. 이 과정에서 금융당국은 원칙‧상위기준을 제시, 목표 달성과정은 금융회사 등의 자율적인 판단을 존중하겠다는 입장이다.

금융보안 규제 개선방안. ⓒ금융위원회

아울러 현재 안전성 확보의무를 ▲인력·조직·예산 ▲내부통제 ▲시스템 보안 ▲데이터 보호 등으로 구분해 금융보안의 주요 원칙과 목표를 법에 명시하고 세부사항은 폐지하기로 했다.

이를 위해 ‘전자금융감독규정’ 중 필수사항만을 남기고, 세부적으로 규율할 사항은 가이드라인 또는 해설서 등으로 전환한다는 방침이다.

또 금융회사 등이 자율보안체계를 구축하지 않거나, 보안사고가 발생한 경우 그에 따른 사후책임이 강화된다. 금융위는 국제기준 등을 고려해, 고의‧중과실에 의한 사고 발생 시 과징금 등의 제도 신설을 검토할 예정이다.

아울러 내년 상반기 중 ‘금융보안 규율체계 정비 TF’를 구성하여 장기적 로드맵에 대한 검토를 시작할 계획이다.

▲1단계에서는 현행 보안규정의 우선순위, 규제 타당성, 금융회사 등의 보안역량 등을 종합적으로 평가해 규정을 정비한다. ▲2단계는 금융보안의 목표‧원칙을 제시하고, 금융회사 등의 자율보안체계 구축 및 사후책임 중심으로 규제를 정비하며 ▲3단계에는 포지티브 규제체계에서 네거티브 방식으로 전환해 금융회사 등에 보안 자율성을 부여할 방침이다.