법제도/정책

미래부-금융위, ‘ISMS 인증’ 놓고 갈등

이민형 기자
- 미래부 “금융회사도 정보통신망법 상 ISMS 인증 의무 대상”
- 금융위 “금융회사는 금융위 소관, ISMS는 중복 규제”

[디지털데일리 이민형기자] 미래창조과학부가 금융회사를 정보보호관리체계(ISMS) 인증 의무대상으로 지정한 것과 관련 금융위원회와 갈등을 빚고 있다.

미래부는 금융회사들이 정보통신망을 사용해 전자금융서비스를 제공하고 있기 때문에 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 의거, ISMS 인증을 획득해야한다고 유권해석했다.

반면 금융위는 금융회사들은 전자금융거래법에 따라 내부보안 사항을 분석·평가해 금융위에 보고하도록 돼 있어, 정보통신망법에 근거한 ISMS 인증을 받을 필요성이 없다고 주장한다.

27일 이강용 미래부 정보보호정책과 사무관은 “미래부는 자금융서비스를 제공하는 금융회사들도 ISMS 인증 의무대상에 포함해야 한다는 법률 자문을 구해 이와 관련 유권해석을 내린 바 있다”며 “현재 금융회사들을 대상으로 ISMS 제도를 안내하고 제도권 내로 유도하고 있다”고 말했다.

미래부는 금융회사들이 인터넷뱅킹 등 전산망을 사용한 서비스를 국민들에게 제공하고 있기 때문에 정보통신망법이 적용되므로 ISMS 인증 역시 받아야한다는 해석이다.

이 사무관은 “정보통신망을 사용한다면 해당 법률을 적용받는 것이 당연하다”며 “이는 망의 안전성 보장과 이를 사용하는 국민의 안전성을 보장하기 위한 조치”라고 설명했다.

금융회사들을 관리감독하는 금융위의 생각은 다르다. 전자금융거래법 상 금융회사들은 매년 내부보안사항을 분석, 평가해 금융위에 보고하도록 돼 있으므로, ISMS는 중복규제라는 것이 금융위의 해석이다.

전요섭 금융위 전자금융과장은 “금융회사는 전자금융거래법 제21조의3에 의해 내부보안 사항을 분석·평가해 금융위에 보고하도록 돼 있어, 정보통신망법에 근거한 ISMS 인증을 받을 필요성이 낮다고 본다”며, “다만 금융회사의 보안체계를 강화하고 중복 규제를 피하기 위해 금융감독법규에 금융회사를 위한 보안관리체계를 도입할 계획”이라고 밝혔다.

금융위는 올해 안에 전자금융거래법 개정안을 마련해 금융보안관리체계 인증제도의 법적근거를 만들고, 내년 중 제도 초안을 발표할 예정이다.

금융위 또 금융회사들은 ISMS 인증대상이 아니라는 점을 미래부와 논의한다는 계획이다.

하지만 미래부측은 ISMS 인증과 중복되는 항목일 경우 생략하는 등 부담을 완화해줄 수는 있으나 금융회사의 ISMS 인증은 지속적으로 가져갈 계획이다.

이 사무관은 “ISMS와 중복되는 부분은 심사과정에서 완화해줄 여지는 있을 것”이라며 “하지만 정보통신망법의 취지상 전자금융서비스를 제공하는 금융회사들은 ISMS 인증을 반드시 받아야 할 것”이라고 전했다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널