[디지털데일리 박기록기자] 전자금융부문의 안정성 강화를 위한 금융감독 당국의 정책적 의지가 다시 강하게 나타나고 있다.

앞서 지난 10일에는 금융회사의 IT보안에 대한 CEO의 책임을 강화하고 전자금융기반 시설에 해한 취약점 분석 평가를 의무화는 내용의  '전자금융거래법' 일부개정 법률안이 국무회의를 통과했다. 이 개정 법률안은 지난 제18대 국회에서 회기 만료로 자동 폐기된바 있어 이를 동일한 내용으로 재상정한 것이다.

이어 12일에는 '전자금융활성화'를 위한 전자금융감독규정 개정 내용을 밝혔다. 보험료, 통신비 등이 자동적으로 자기계좌에서 이체되도록 동의하는데 필요한 ‘추심이체 출금동의 방식 다양화’ 등이 주요 내용이다.

기존에는 추심이체 출금동의의 방식으로 서면 및 전자적 방식인 공인인증서를 이용한 전자서명만을 허용했지만 적절한 보안기준(부인방지, 위변조 방지 등)을 충족하는 경우 태블릿 PC의 화면에 하는 자필 전자서명(스타일러스 펜을 이용한 자필 서명 등)도 추심이체 출금동의 방식으로 인정한다는 것이다.

한편으론 이는 전자금융부문에 대한 ‘규제’(안정성 확보)와 ‘활성화’의 양면을 모두 고려해야하는 금융감독 당국의 고충이 드러나는 대목이다.
  
하지만 이처럼 전자금융부문에 대한 금융감독 당국의 의지와는 달리 금융권이 이를 실질적인 강제수단으로 받아들일 것인지는 사실상 별개의 문제다.

국무회의를 통과한 전자금융거래법 일부 개정안의 경우, 이미 국무회의에 상정되기 앞서 지난 6월 규제개혁위원회의 심사, 법제처 심사를 거치는 등 법안 시행에 앞서 충분한 사전 검토를 거쳤지만 금융권의 반발, 그리고 국회 논의과정에서 또 다시 변형될 가능성도 적지않다.

◆‘강력한 내용’? = 개정안에 따르면 앞으로 금융회사는 CEO가 연간 IT보안계획을 직접 승인하고 그 이행여부를 확인하고, 정보보호최고책임자(CISO) 지정을 의무화하며 IT보안인력 및 IT투자(전체 예산의 일정부분 이상을 보안예산으로 편성)를 확대하고, 또한 안정성 확보의무 위반에 따른 공익침해가 중대할 경우 영업정지 등도 가능하며, 해킹에 의한 고객 피해시 이를 금융회사가 손해배상 책임을 진다.

그러나 이는 1년전 ‘금융회사 IT보안강화 종합대책’에서 이미 자세하게 열거됐던 내용이다.

그리고 이 종합대책 발표이후 전자금융감독규정(2011.10)과 전자금융거래법 시행령(2012.5월 시행)등 후속 대책으로 이어졌다.

이 후속대책의 결과가 금융회사 전체 인력의 5%를 IT인력으로 확보하고, 또한 IT인력의 5%를 보안인력으로 편성하며, IT예산의 7%를 보안예산으로 확보하고, CISO제도에 따른 자격요건을 명시한 것이다. 전자금융강화를 위한 대책중 일부 내용들은 이미 시행에 들어간 상태다.

◆여전히 부담느끼는 금융권, 정책의 실효성이 문제 = 하지만 이같은 금융당국의 강력한 정책 드라이브에도 불구하고 이에 대해 금융권이 여전히 부담스럽다는 반응을 보이는 것은 역시 1년전과 비슷하다.

지난해 현대캐피탈 해킹사태, 농협 전산마비사태로 인해 강력한 전자금융보안 정책의 필요성은 인정되지만 이에 부합할 수 있는 보다 구체적인 실행방안이 요구되고 있다는 지적이다.

<박기록 기자>rock@ddaily.co.kr