앞으로 IT보안사고에 따른 금융회사와 경영진의 제재가 강화되고 전자금융사고에 따른 고객피해보상도 확대된다. 금융회사들은 정보보호최고책임자(CISO)를 지정해야 하고 IT 보안인력과 예산비율을 일정 수준 이상으로 유지해야 한다.
금융위원회는 23일 이같은 내용을 주요 골자로 하는 '금융회사 IT보안강화 종합대책'을 발표했다. 최근 현대캐피탈, 농협 등 사고발생에 따른 일시적 대응책이 아닌 근원적인 IT 보안강화 대책이 될 수 있도록 경영진의 인식 전환과 IT 보안조직(인력․예산)의 실질적 역량 강화 등에 중점을 두고 추진한다는 계획이다.
금융회사 IT 보안사고에 대한 제재수준이 강화된다. 위반행위자, 경영진 등 감독자, 금융회사 등 대상별 제재기준을 별도로 마련, 각자의 책임별로 엄중 제재조치를 시행하게 된다. 아울러 안전성 확보의무 위반에 따른 공익침해의 정도가 중대할 경우 해당 금융회사의 업무정지 등이 가능하도록 법적 근거도 신설된다. 이를 통해 중대한 전산사고가 발생한 경우 경영진 등의 책임을 명확히 함으로써 기술적 보안조치의 실효성을 확보키로 했다.
지금은 전자금융거래법상으로도 법령 위반시 시정명령, 임직원 문책, 임원해임 또는 직무정지 요구 등이 가능하지만 감독자 감경조항 등에 따라 경미하게 조치하는 경향이 있었다.
IT 부문 실태평가를 경영실태평가에 의무적으로 반영하고 감독․검사 시 중요 기초자료로 활용할 계획이다. 그동안 IT부문 실태평가대상에서 제외됐던 할부․리스업 등을 영위하는 여신전문금융회사, 금융관련협회(은행연합회, 생․손보협회) 등도 IT부문 실태평가대상에 포함된다.
사고예방효과의 극대화를 위해 전자금융거래법에 침해행위 금지의무와 처벌조항을 신설하고 사고보고 범위․절차 등에 관해 명확하게 규정된다.
전자금융사고에 따른 고객피해보상도 확대된다. 현재 책임 여부가 불분명한 해킹 사고시에도 금융회사 등이 손해배상 책임을 질 수 있도록 전자금융거래법 개정을 추진하고 필요시 보상한도 상향 조정도 검토할 계획이다.
IT보안에 대한 CEO 등의 저조한 관심도가 보안사고 발생의 원인으로 작용한다는 점을 감안, CEO가 연간 IT 보안계획을 직접 승인(책임부여)하고 이행여부를 확인토록했다. 이를 임원성과평가와도 연계하도록 유도할 방침이다. 또 CISO 지정을 의무화하고 CISO 업무범위․자격요건 등이 명시된다. 금융회사와 금융당국간 협력체계 강화를 위한 'CISO 협의회'도 운영․추진된다.
IT 보안인력비율 및 IT 예산비율을 일정 수준 이상 유지토록 의무화하고 준수여부를 경영실태평가에 반영토록 함으로써 실질적 투자와 인력 확충으로 연결되도록 할 계획이다. 구체적인 비율 수준은 총자산규모, 직원수, 전자금융거래규모, 고객수, 국제기준 등을 감안해 결정하되 로드맵에 따라 단계적으로 높여 나갈 예정이다.
IT 보안 기술 인프라와 내부통제도 개선된다. 안전한 내부망 구간에만 DB를 설치․운영토록 하고 고객비밀번호 암호화 등 고객정보 관리 강화해야 한다. 단계적으로 인터넷망과 업무망을 분리해야 한다. 무선망 사용에 대한 보안조치 및 점검도 강화된다.
취약점 점검 강화와 불시점검이 실시된다. 민간보안전문업체를 활용해 매년(외부공개용 웹서버는 반기) 취약점을 자체 점검토록 하고 이행계획 등을 금융위(원) 합동 점검반이 불시에 점검한다.
외주업체 및 외주인력의 관리와 외부위탁 업무의 적정성 관리가 강화된다. 사이버테러 대응 실시간 경보체계와 사이버테러 대응훈련도 강화된다.
금융위 관계자는 "금융회사 최고경영자의 IT 보안에 대한 책임 강화와 관심도 제고를 통해 금융권 IT 보안수준의 전반적인 향상을 도모하고 IT보안 인프라 개선과 내부통제 강화 등 기술적인 보안강화 대책을 통해 해킹 등 침해사고 발생 가능성을 최소화할 수 있을 것"이라고 말했다.
금융위는 전산사고 예방에 필요한 최소한의 IT보안업무 처리절차는 '금융회사 IT보안업무 모범규준(Best Practice)'을 마련, 8월중 시행할 예정이다. 제도개선과 관련해 우선 전자금융감독규정 및 시행세칙 개정으로 반영할 수 있는 사항은 즉시 개정에 착수해 조속하게 시행하며 전자금융거래법령 개정도 최대한 신속하게 추진한다는 계획이다.
한경닷컴 정형석 기자 chs8790@
금융위원회는 23일 이같은 내용을 주요 골자로 하는 '금융회사 IT보안강화 종합대책'을 발표했다. 최근 현대캐피탈, 농협 등 사고발생에 따른 일시적 대응책이 아닌 근원적인 IT 보안강화 대책이 될 수 있도록 경영진의 인식 전환과 IT 보안조직(인력․예산)의 실질적 역량 강화 등에 중점을 두고 추진한다는 계획이다.
금융회사 IT 보안사고에 대한 제재수준이 강화된다. 위반행위자, 경영진 등 감독자, 금융회사 등 대상별 제재기준을 별도로 마련, 각자의 책임별로 엄중 제재조치를 시행하게 된다. 아울러 안전성 확보의무 위반에 따른 공익침해의 정도가 중대할 경우 해당 금융회사의 업무정지 등이 가능하도록 법적 근거도 신설된다. 이를 통해 중대한 전산사고가 발생한 경우 경영진 등의 책임을 명확히 함으로써 기술적 보안조치의 실효성을 확보키로 했다.
지금은 전자금융거래법상으로도 법령 위반시 시정명령, 임직원 문책, 임원해임 또는 직무정지 요구 등이 가능하지만 감독자 감경조항 등에 따라 경미하게 조치하는 경향이 있었다.
IT 부문 실태평가를 경영실태평가에 의무적으로 반영하고 감독․검사 시 중요 기초자료로 활용할 계획이다. 그동안 IT부문 실태평가대상에서 제외됐던 할부․리스업 등을 영위하는 여신전문금융회사, 금융관련협회(은행연합회, 생․손보협회) 등도 IT부문 실태평가대상에 포함된다.
사고예방효과의 극대화를 위해 전자금융거래법에 침해행위 금지의무와 처벌조항을 신설하고 사고보고 범위․절차 등에 관해 명확하게 규정된다.
전자금융사고에 따른 고객피해보상도 확대된다. 현재 책임 여부가 불분명한 해킹 사고시에도 금융회사 등이 손해배상 책임을 질 수 있도록 전자금융거래법 개정을 추진하고 필요시 보상한도 상향 조정도 검토할 계획이다.
IT보안에 대한 CEO 등의 저조한 관심도가 보안사고 발생의 원인으로 작용한다는 점을 감안, CEO가 연간 IT 보안계획을 직접 승인(책임부여)하고 이행여부를 확인토록했다. 이를 임원성과평가와도 연계하도록 유도할 방침이다. 또 CISO 지정을 의무화하고 CISO 업무범위․자격요건 등이 명시된다. 금융회사와 금융당국간 협력체계 강화를 위한 'CISO 협의회'도 운영․추진된다.
IT 보안인력비율 및 IT 예산비율을 일정 수준 이상 유지토록 의무화하고 준수여부를 경영실태평가에 반영토록 함으로써 실질적 투자와 인력 확충으로 연결되도록 할 계획이다. 구체적인 비율 수준은 총자산규모, 직원수, 전자금융거래규모, 고객수, 국제기준 등을 감안해 결정하되 로드맵에 따라 단계적으로 높여 나갈 예정이다.
IT 보안 기술 인프라와 내부통제도 개선된다. 안전한 내부망 구간에만 DB를 설치․운영토록 하고 고객비밀번호 암호화 등 고객정보 관리 강화해야 한다. 단계적으로 인터넷망과 업무망을 분리해야 한다. 무선망 사용에 대한 보안조치 및 점검도 강화된다.
취약점 점검 강화와 불시점검이 실시된다. 민간보안전문업체를 활용해 매년(외부공개용 웹서버는 반기) 취약점을 자체 점검토록 하고 이행계획 등을 금융위(원) 합동 점검반이 불시에 점검한다.
외주업체 및 외주인력의 관리와 외부위탁 업무의 적정성 관리가 강화된다. 사이버테러 대응 실시간 경보체계와 사이버테러 대응훈련도 강화된다.
금융위 관계자는 "금융회사 최고경영자의 IT 보안에 대한 책임 강화와 관심도 제고를 통해 금융권 IT 보안수준의 전반적인 향상을 도모하고 IT보안 인프라 개선과 내부통제 강화 등 기술적인 보안강화 대책을 통해 해킹 등 침해사고 발생 가능성을 최소화할 수 있을 것"이라고 말했다.
금융위는 전산사고 예방에 필요한 최소한의 IT보안업무 처리절차는 '금융회사 IT보안업무 모범규준(Best Practice)'을 마련, 8월중 시행할 예정이다. 제도개선과 관련해 우선 전자금융감독규정 및 시행세칙 개정으로 반영할 수 있는 사항은 즉시 개정에 착수해 조속하게 시행하며 전자금융거래법령 개정도 최대한 신속하게 추진한다는 계획이다.
한경닷컴 정형석 기자 chs8790@
