[뉴스핌=노희준 기자] 금융위원회가 전자금융거래정보의 보호와 관련된 전산장비·소프트웨어에 대한 개발·운영·유지 관리 업무를 제3자에게 재위탁할 수 있게 하는 방안을 추진한다.
금융위는 이와 같은 내용 등으로 전자금융감독규정을 개정한다고 12일 밝혔다. 금융위는 규정변경예고 후 규개위 심사, 금융위 의결을 거쳐 내년 1월까지 감독규정개정 개정절차를 마무리할 예정이다.
우선 전자금융거래정보의 보호 및 안전한 처리를 저해하지 않는 범위 내에서 제3자에 대한 정보보호업무 재위탁 허용 기준을 설정했다.
이에 따라 전자금융거래정보의 보호와 관련된 전산장비·소프트웨어에 대한 개발·운영·유지 관리 업무는 제3자에 대해 재위탁 할 수 있게 했다.
다만, 금융거래정보는 위탁회사의 데이터센터에 보관하는 것을 원칙으로 하고 제3의 장소로 이전시 비식별처리를 의무화 했다.
금융회사 내부통제 강화를 위해 금융회사별 보안점검의 날을 정해 정보보호최고책임자(CISO) 책임하에 보안점검을 실시토록 했다.
외부주문 통제 소홀에 따른 정보유출 방지 등을 위해 외부주문의 단계(입찰→계약→수행→완료)별 보안관리방안을 준수하도록 했다.
동시에 외부주문 개발업무에 활용되는 업무장소 및 전산설비는 내부 업무용과 분리해 설치·운영토록 했다. 신속한 금융사고 보고체계 구축을 위해 금융회사의 사고보고창구를 금융감독원으로 일원화했다.
정보기술(IT)부문 정보보호 인력 산정기준을 변경해 비상주 외주인력, 공동수탁사(코스콤, 저축은행중앙회 등) 인력, IT자회사 인력 등을 금융회사 IT인력으로 포함할 방침이다.
외국계 금융회사 국내지점 등 망분리 규정 일괄적용이 불가능·불합리한 사례에 대해서는 금감원장이 인정하는 경우 예외를 허용키로 했다.
타법규상 ‘보안성검토’를 받는 금융공공기관은 ‘보안성심의’ 적용을 면제해 중복 규제를 해소했다.
금융회사 기술 자율성 제고를 위해 금융회사가 자율적으로 단말기 보호대책을 마련할 수 있도록 중요원칙만 제시, 세부사항은 삭제·조정토록 했다.
특정 인증수단의 사용관련 조문을 삭제해 금융사의 자율적인 공개용 웹서버 관리를 가능케했다.
사실상 Active-X를 강제하는 보안프로그램 설치 의무를 삭제해 전자금융거래 안정성 조치를 자율적으로 마련할 수 있게 했다.
금융회사가 일회용 비밀번호 등의 거래인증수단으로 새로운 기술을 활용할 수 있도록 자율성을 부여했다.
[뉴스핌 Newspim] 노희준 기자 (gurazip@newspim.com)