금융당국이 카카오 데이터센터 화재 사태에서 드러난 금융보안 규제의 취약점을 보완한다. 급변하는 정보통신(IT) 환경을 신속하게 반영하지 못하는 미시적·사전통제적 성격의 기존 금융보안 규제를 수정해 금융사가 보안 환경 변화에 탄력적으로 대응할 수 있도록 자율성을 높인다. 대신 보안사고가 발생한 경우 사후책임을 강화한다.
금융위원회는 '금융보안규제 선진화 방안'을 마련하고 금융회사 등이 전사적 차원에서 금융보안을 준수하고, 자율보안체계를 구축할 수 있도록 규율체계를 개선한다고 26일 밝혔다.
금융위는 내년 상반기 중 금감원, 금융보안원, IT 보안 전문가 등이 참여하는 금융보안 규율체계 정비 태스크포스(TF)를 구성해 장기적 로드맵에 대한 검토를 시작한다. TF는 카카오 데이터센터 화재 후속조치로 감독규정에 일정 규모 이상 전금업자 등의 재해복구센터 설치 의무 신설을 검토한다. 전자금융사고 시 책임이행을 위한 보험금 가입기준을 상향하는 방안도 검토한다.
이는 카카오의 데이터센터 화재 사태 당시 전자금융업자의 규모·영향력이 증가했음에도 불구하고 재해복구센터 설치의무가 면제되고, 전자금융사고의 파급력이 커도 사고 시 책임이행을 위한 보험 가입기준은 과거에 머물러 있다는 지적에 따른 조치다.
금융위는 전반적인 금융보안 규제도 개선한다. 기존 금융보안 규제는 경비원의 출입구 통제, 휴대용 손전등 비치 등 미시적인 규정을 중심으로 사전통제적 성격이 강해 개선의 필요성이 제기됐다. 급변하는 IT 환경을 신속하게 반영하지 못하는 경직적 규정으로 인해 새로운 리스크에 효과적으로 대응할 수 없다는 지적도 나왔다. 상황이 이렇다 보니 금융회사 등은 금융보안을 정보보호최고책임자(CISO) 중심의 실무적 문제로만 인식하고 있으며, 사고 발생 시 임기응변식으로 대응하고 있는 실정이다.
금융위는 금융보안 거버넌스부터 개정한다. 금융회사 등이 보안리스크를 스스로 분석‧평가하고, 리스크에 비례해 보안방안을 수립할 수 있는 리스크 기반의 자율보안체계로의 전환을 추진한다. 또, CISO의 권한을 확대하고, 중요 보안사항의 이사회 보고 의무화 등을 통해 금융보안을 기업의 핵심가치로 제고할 예정이다.
보안 규제도 목표·원칙중심, 사후책임 중심으로 전환한다. 금융당국이 원칙‧상위기준을 제시하고 세부 목표 달성 과정은 금융회사 등의 자율적인 판단을 존중하는 식이다. 이를 위해 금융위는 전금법상 안전성 확보 의무를 인력·조직·예산, 내부통제, 시스템 보안, 데이터 보호 등으로 구분해 금융보안의 주요 원칙과 목표를 법에 명시하고 세부사항은 폐지할 예정이다. 전자금융감독규정 중 필수사항만을 남기고, 세부적으로 규율할 사항은 가이드라인 또는 해설서 등으로 전환할 방침이다.
금융위는 보안 측면에서 금융사의 자율성을 제고하는 한편, 금융회사 등이 자율보안체계를 구축하지 않거나 보안사고가 발생한 경우 그에 따른 사후책임을 강화한다. 국제기준 등을 고려해 고의‧중과실에 의한 사고 발생 시 과징금 등의 제도 신설을 검토할 예정이다.
금융당국의 관리‧감독방식 또한 보안 규정 위반여부 감독 중심에서 자율보안체계 수립‧이행 등에 대한 검증 중심으로 바꾼다. 금융보안원 등 금융보안 전문기관을 통해 금융회사 등의 자율보안체계 검증 및 이행 컨설팅 기능을 강화한다.
금융위 관계자는 "최근 금융분야에서 클라우드·빅데이터·인공지능(AI) 등 디지털 신기술 활용이 확대됨에 따라 금융보안의 중요성이 증가하고 있다"며 "디지털 금융혁신을 뒷받침하면서 리스크에 효과적으로 대응할 수 있는 금융보안 규제 선진화 방안을 마련했다"고 설명했다.