금융사 '자율보안체계' 전환 추진…보안사고 발생 시 사후책임 강화

▲금융보안 선진화 방안 개요 (자료제공=금융위원회)

급변하는 IT환경과 새로운 보안 리스크에 금융사들이 탄력적으로 대응할 수 있도록 '금융보안규제 선진화 방안'이 마련된다. 금융사들이 리스크 기반의 자율보안체계를 구축할 수 있도록 규율체계 개선을 독려하고 보안사고 발생 시 사후책임을 강화할 계획이다.

금융위원회·금융감독원·금융보안원은 최근 '금융규제혁신회의'에서 이같은 내용의 안건을 논의하고 이번 논의사항을 바탕으로 내년 상반기 '금융보안 규율체계 정비 TF(태스크포스)'를 구성해 보안규제 선진화 로드맵을 검토할 예정이라고 27일 밝혔다.

우선 금융당국은 금융사 등이 전사적 차원에서 금융보안을 준수하고, 자율보안체계를 구축할 수 있도록 규율체계를 개선한다. 정보보호최고책임자(CISO)의 권한을 확대하고, 중요 보안사항의 이사회 보고 의무화 등을 통해 금융보안을 기업의 핵심가치로 제고할 방침이다.

또 금융사가 보안리스크를 스스로 분석·평가하고 리스크에 비례해 보안방안을 수립할 수 있는 리스크 기반의 '자율보안체계'로의 전환을 추진한다.

보안규제는 목표·원칙 중심, 사후책임 중심으로 규제를 전환한다. 안전성 확보의무를 인력·조직·예산·내부통제, 시스템 보안, 데이터 보호 등으로 구분해 금융보안의 주요 원칙과 목표를 법에 명시하고 세부사항은 폐지한다.

특히 금융사 등이 자율보안체계를 구축하지 않거나 보안사고가 발생한 경우 그에 따른 사후책임을 강화한다. 국제기준 등을 고려해 고의·중과실에 의한 사고 발생 시 과징금 등 제도 신설을 검토할 방침이다.

이밖에 금융당국의 관리·감독방식은 자율·책임 원칙으로 전환하고, 금융보안 전문기관을 통해 금융사의 자율보안체계 검증 및 이행 컨설팅 기능을 강화한다.

금융당국은 최근 발생한 카카오 데이터 센터 화재 사고의 후속 조치로 일정 규모 이상의 전자금융업자에게 재해복구 센터 설치 의무를 신설하는 방안과 전자금융사고 시 책임 이행을 위한 보험금 가입 기준을 상향하는 방안도 검토할 예정이다.