- 금융위, 미래부와 협의해 금융사 정보통신망법 ISMS 의무대상 제외 명확화

[디지털데일리 이민형기자] 금융회사의 전자금융기반시설 보호를 위해 ‘금융보안관리체계 인증제도’가 내년 시행된다.

전요섭 금융위원회 전자금융과장은 지난 22일 <디지털데일리> 주최로 서울 은행연합회관에서 열린 ‘2013년 강화된 금융 IT보안 대책과 효과적 대응전략을 위한 특별 세미나’에서 금융회사를 위한 보안관리체계를 도입할 계획이라고 밝혔다.

이는 금융권 정보보안과 전자금융거래 업무 특성을 고려해 금융회사의 보안수준을 보다 높이기 위한 금융당국의 조치다. 금융위는 정보통신망법 의무사항에 따른 금융사의 보안 인증 규제를 피한다는 방침이다.

전 과장은 “금융회사는 전자금융거래법(제21조의3)에 의해 내부보안 사항을 분석·평가해 금융위에 보고하도록 돼 있어, 정보통신망법에 근거한 ISMS 인증을 받을 필요성이 낮다고 본다”며, “금융회사의 보안체계를 강화하고 중복 규제를 피하기 위해 금융감독법규에 금융회사를 위한 보안관리체계를 도입할 계획”이라고 밝혔다.

금융위는 올해 안에 전자금융거래법 개정안을 마련해 금융보안관리체계 인증제도의 법적근거를 만들고, 내년 중 제도 초안을 발표할 예정이다.

전 과장은 “정보통신망법 주관부처인 미래창조과학부와 논의해 금융회사들은 ISMS 인증 대상이 아니라는 점을  명확히 할 계획”이라며 “올해 관련 법 개정으로 내년에 관련 고시가 나올 수 있도록 준비할 것”이라고 전했다.

다만 금융보안관리체계 인증제도는 ISMS 인증제도보다 규제의 강도가 높을 것으로 예상된다. 농협의 경우 과거 전산망해킹 사고 당시 ISMS 인증을 획득한 상태였으나 피해를 입었기 때문이다.

이와 관련 전 과장은 “인증제도의 규제 수준에 대해서는 아직 논의된 바 없다”고 말을 아꼈다.

한편 현재 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 제47조에 의거 모든 금융회사는 내년 2월 18일까지 ISMS 인증을 획득해야 한다. 하지만 현재까지 ISMS 인증을 획득한 금융회사는 국민은행, 농협, 상호저축은행 등 세 곳에 불과하다.

<이민형 기자>kiku@ddaily.co.kr