[디지털데일리 이상일기자] 앞서 금융위원회가 지난 15일 ‘전자금융거래법·시행령’ 개정을 추진한다고 밝히자 금융권은 대책 마련에 부심하는 모습이다. 금융권에서는 대체적으로예상했던것보다 훨씬 강도가 높다는 반응이 많았다.  

16일 금융계에 따르면, 이번 금융위원회가 입법예고한 '전자금융거래법·시행령'은 금융당국의 감독기능을 한층 더 강화했다는 점에서 주목받는다.앞서 지난 6월 23일 고강도의 ‘금융회사 IT 보안강화 종합대책’ 내용에서 한발 더 나아갔다는 평가다. 

무엇보다 대통령령으로 정하는 주요 금융회사는 정보기술(IT) 부문에 대한 계획을 매년 수립하고, 대표자(CEO)의 확인·서명을 받아 금융위원회에 제출토록 의무화한 것이 주목된다. 금융회사의 IT계획에 대한 전반적인 사항을 금융당국이 의무보고 받겠다는 것이다.

여기서 말하는 IT계획 제출은 사실상 금융회사의 전반적인 IT전략을 금융 당국이 들여다보겠다는 의미다. 실제로도 금융위원회 관계자는 “금융회사의 IT투자, 시스템 구축, 비용에 대한 전반적인 내용을 보고받을 수 있도록 검토하고 있다”고 밝혔다.

그동안 금융감독원, 금융위원회 등 금융당국은 비공식적으로 시중은행들의 IT계획이나 예산 상황을 비정기적으로 보고받은바 있다. 하지만 이번 법 개정을 통해 증권사, 보험사 등 일반 금융회사까지 그 범위가 확대되며 의무화된다. 

이에 따라 금융권의 IT부서는 금융당국에 대한 IT전략 보고라는 부담을 떠앉게 됐다. 아직 정확한 보고 내용에 대해서 규정이 나오지는 않았지만 단순히 ‘보고용’ IT계획 제출로 끝나지는 않을 것이란 관측이다.

이와관련 금융위원회는 1년 단위로 연간 IT계획을 보고 받겠다는 방침이다. 이에 대해 금융위 관계자는 “시중은행, 증권사 등 IT계획 수립 시점이 다른 만큼 이를 고려해 보고 시점을 조율하겠다”는 입장이다.

이에 대해 금융회사들은 제출된 보고서에 대한 공개 가능성에 대해 주목하고 있다.

증권사 IT부서의 한 관계자는 “IT계획의 보고범위에 대해 자세한 사항이 나오지 않아서 알 수 없지만 금융회사별 IT전략에 대한 노출에 대한 우려가 있는 것은 사실”이라고 지적했다.

이에 대해 금융위원회는 보고받은 금융회사의 IT전략의 정보 공개방법에 대해 고심중인 것으로 알려졌다.

금융위 관계자는 “업체별 IT전략은 공개할 수 없는 내부정보를 포함한 경우가 많아 정보공개에 대해선 범위에 대한 검토를 하고 있다”고 설명했다.

한편 금융전산사고 발생 시 시스템을 구축한 구축사업자에게 까지 조사권이 강화된 것도 주목된다. 금융회사 및 전자금융업자에 대한 검사 과정에서 필요한 경우 금융감독원장이 전자금융보조업자를 직접 조사할 수 있도록 검사권을 강화한 것.

이를 통해 그동안 전자금융거래 사고 발생시 사고에 대한 자료제출에 국한됐던 SI사업자(IT아웃소싱 사업자)들에 대한 직접적인 조사는 물론 관계자 출석까지 요구할 수 있게 됐다.

특히 SI 사업자가 계약내용을 위반한 경우 해당 금융회사 또는 전자금융업자에게 그 SI 업체와의 재계약을 금지하거나 입찰을 제한할 것을 권고할 수 있게 된다. SI와 IT아웃소싱을 제공하는 IT서비스업체로선 한층 더한 부담감을 가질 수 밖에 없게 된 것.

한편 지난 6.23일 발표된 ‘금융회사 IT 보안강화 종합대책’의 주요 내용이었던 최고정보책임자(CISO) 의무 도입은 이같은 내용을 담은 ‘전자금융거래법 일부개정법률안’이 통과되면서 이번 개정안에는 빠졌다.

금융위원회는 9월 말 전자금융거래법·시행령 개정에 따라 금융회사들이 IT부분에서 지켜야 할 ‘모범규준’을 마련, 배포할 예정이다.

<이상일 기자>2401@ddaily.co.kr