해킹 사고시 금융회사가 책임 부담해야

하루 300만원 이상 이체시 추가적인 본인인증 거치도록

앞으로 해킹사고 발생시 금융회사가 이용자의 손해에 대해 1차적 책임을 부담하게 된다.

금융위원회는 14일 해킹사고 등이 발생했을 때 금융회사의 책임을 명확히 하기 위한 전자금융거래법(이하 전금법) 시행령 개정안을 입법예고했다. 개정안에 따르면 해킹사고 발생시 금융회사가 이용자의 손해에 대해 1차적 책임을 부담하게 됨에 따라 금융회사의 전자금융거래 보안성 확보 노력이 강화된다.

이에 따라 공인인증서를 발급받거나 인터넷뱅킹으로 하루 누적 300만원 이상 이체시 추가적인 본인인증을 거치도록 하는 서비스가 다음달 26일부터 전면 시행될 예정이다.

금융회사나 전자금융업자는 매년 정보기술부문 추진목표 및 전략·투입 인력·예산 등의 추진실적과 향후계획을 수립해 대표자의 서명을 받아 금융위에 제출해야 한다. 또한 금융회사 등이 취약점 분석 평가를 실시할 분야에 외부 위탁된 정보기술부문과 전자금융보조업자의 시스템이 추가된다.

이밖에 정보보안에 대한 인식 제고를 위해 정보보호최고책임자(CISO) 업무에 임·직원에 대한 정보보안 교육 책무를 명시하도록 했다. 일부 중소 금융회사의 경우 내부인력 중 CISO 자격요건을 충족하는 자가 없어 지정에 애로를 겪고 있는 점을 감안해 CISO 자격요건을 완화했다.

종업원수가 일정 규모(20명) 이하인 농협·신협 등의 단위조합 및 새마을금고는 대표자 또는 대표자가 지정하는 자를 CISO로 운영할 수 있다.

아울러 전자금융업무를 수행하지 않는 금융회사 중 종업원 수 200명 미만 또는 영업수익 200억원 이하인 중소규모 회사에 대해서는 전금법상 주요의무의 적용을 배제토록 했다.

금융위는 오는 21일부터 내달까지 입법예고를 실시하고, 규제개혁위원회와 법제처 심사 등을 거쳐 오는 11월 23일부터 해당 법규를 시행할 예정이다.