[서울=뉴스핌] 이은혜 기자=금융당국이 급변하는 IT환경 속 금융회사의 보안규제에 탄력적으로 대응할 수 있도록 정보보호최고책임자(CISO)의 권한을 강화하고, 자율보안체계를 구축할 수 있도록 규율체계를 개선한다. 금융보안의 주요 원칙과 목표를 전자금융거래법(이하 전금법)에 명시하되 세부사항을 폐지하고, 금융당국의 관리‧감독방식을 자율·책임 원칙으로 전환한다.

[사진=금융위원회]

금융위원회는 지난 20일 제5차 금융규제혁신회의를 열어 급변하는 IT환경과 새로운 보안 위기에 금융회사 등이 탄력적으로 대응할 수 있도록 '금융보안규제 선진화 방안'을 마련했다고 27일 밝혔다. 이번 방안의 주요 내용은 ▲보안 거버넌스 개선 ▲보안규제 정비 ▲관리·감독 선진화 등이 포함돼있다.

금융당국은 최근 금융분야에서 클라우드, 빅데이터, 인공지능(AI) 등 디지털 신기술 활용이 확대됨에 따라 금융보안의 중요성이 증가하고, 신기술 도입에 따른 보안 취약점을 이용한 사이버 위협의 유형이 다변화되고 있으며, 빅테크의 금융업 진출, 클라우드 등 아웃소식 확대 등으로 비금융부문의 장애발생 및 사고가 금융 부문으로 전이되는 '제3자 리스크'가 심화되고 있다고 짚었다.

또, 금융회사는 금융보안을 CISO 중심의 실무적 문제로만 인식하고 있으며, 사고 발생시 임기응변식으로 대응하는데다 현재 보안 규제는 미시적인 규정 중심에 사전통제적 성격이 강하다고 지적했다.

이에 따라 보안 거버넌스를 개선해 금융회사가 전사적 차원에서 금융보안을 준수하고, 자율보안체계를 구축할 수 있도록 규율체계를 개선한다. 이를 위해 금융회사의 CISO 권한을 확대하고, 중요 보안사항의 이사회 보고 의무화 등을 통해 금융보안을 기업의 핵심가치로 제고할 방침이다.

또, 금융회사 등이 보안리스크를 스스로 분석 및 평가하고, 리스크에 비례해 보안방안을 수립할 수 있는 '자율보안체계'로의 전환을 추구할 예정이다.

다음으로 보안규제를 목표·원칙중심, 사후책임 중심으로 전환한다. 이는 금융당국이 원칙‧상위 기준을 제시하고, 목표 달성과정은 금융회사 등의 자율적인 판단을 존중하는 방식이다.

이를 위해 현재 전금법 안전성 확보의무를 인력, 조직, 예산, 내부통제, 시스템 보안, 데이터 보호 등으로 구분해 금융보안의 주요 원칙과 목표를 법에 명시하되 세부사항은 폐지한다. 전자금융감독규정에는 필수사항만 남기고, 세부적으로 규율할 사항은 가이드라인 또는 해설서 등으로 전환할 방침이다.

또, 금융회사 등이 자율보안체계를 구축하지 않거나, 보안사고가 발생한 경우 국제기준 등을 고려해 고의‧중과실에 의한 사고 발생시 과징금을 무는 등 제도 신설을 검토할 예정이다.

아울러 금융당국의 관리‧감독방식을 자율·책임 원칙으로 전환하고, 금융보안원 등 금융보안 전문기관을 통해 금융회사 등의 자율보안체계 검증 및 이행 컨설팅 기능을 강화한다.

보안규정 위반여부에 대해 기존 감독 중심에서 자율보안체계 수립‧이행 등에 대한 검증 중심으로 전환하고, 금융회사 등의 보안 거버넌스 구축을 위한 보안성 검토 지원, 기술 공유, 인력 양성 교육 등 지원·컨설팅 기능을 강화할 방침이다.

금융당국은 내년 상반기 중 '금융보안 규율체계 정비 태스크포스(TF)'를 구성해 해당 내용에 대한 장기적 로드맵 검토를 시작하고, 구체적인 시행 일정을 마련할 계획이다.

chesed71@newspim.com