[디지털데일리 이민형기자] 금융위원회가 금융 정보보호관리체계(F-ISMS) 인증 제정을 보류했다. 대신 금융회사들에게는 미래창조과학부의 정보보호관리체계(ISMS) 인증 획득을 유도한다는 계획이다.

27일 금융위 관계자는 “당초 전자금융거래법 개정을 통해 F-ISMS 인증을 제정하려고 했으나 기존 ISMS 주관부처인 미래창조과학부와 이견이 좁혀지지 않았다. 따라서 금융회사들이 자발적으로 ISMS 인증 획득을 진행하고 있어 제정을 보류할 계획”이라고 말했다.

지난해 8월 금융위는 금융회사 보안관리체계 수립을 위해 F-ISMS 인증을 도입할 계획이라고 발표했다. F-ISMS는 기존 ISMS에서 금융서비스와 관련된 통제항목이 추가된 인증 제도로 금융위는 금융회사들에게 ISMS 인증 대신 F-ISMS 인증을 받도록 지도할 계획이었다.

당시 전요섭 금융위 전자금융과장은 “금융회사는 전자금융거래법(제21조의3)에 의해 내부보안 사항을 분석·평가해 금융위에 보고하도록 돼 있어, 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)에 근거한 ISMS 인증을 받을 필요성이 낮다고 본다”며 “정보통신망법 주관부처인 미래창조과학부와 논의해 금융회사들은 ISMS 인증 대상이 아니라는 점을  명확히 할 계획”이라고 밝힌 바 있다.

이같은 금융위의 발표에 미래부는 금융회사도 ISMS 인증 의무사업자이기 때문에 F-ISMS 인증과는 별개로 ISMS 인증을 획득해야 한다고 지적했다.

미래부 관계자는 “전자금융서비스를 제공하는 금융회사들도 ISMS 인증 의무대상에 포함해야 한다는 법률 자문을 구해 이와 관련 유권해석을 내린 바 있다”며 “다만 중복 규제를 피하기 위해 ISMS, F-ISMS 인증 통제항목 중 중복 항목에 대해선 상호 인정을 허용할 계획”이라고 말했다.

즉 금융위가 전자금융거래법 상 금융회사는 ISMS 인증 의무대상이 아니라고 주장했으나, 미래부는 금융회사들이 정보통신망을 사용하는 사업자이므로 무조건 ISMS 인증도 획득해야 된다고 의견을 굽히지 않은 것이다.

이 같은 두 부처간의 이견으로 인해 F-ISMS의 제정은 늦어졌고, 덩달아 금융회사들의 혼란도 커졌다.

하지만 이번에 금융위가 F-ISMS 인증 제정 연기를 언급함에 따라 금융권 ISMS에 대한 논란 불식과 금융회사들의 ISMS 인증 획득도 가속화 될 것으로 예측되고 있다.

금융위 관계자는 “하지만 기존 ISMS 인증보다 강력한 통제항목을 담은 F-ISMS 인증의 필요성은 여전히 있다고 본다”며 “추후 업계의 의견을 수렴해 제정을 다시 논의할 계획”이라고 전했다.

한편 현재 정보통신망법 제47조에 의거 모든 금융회사는 ISMS 인증을 획득해야 한다. 현재까지 ISMS 인증을 획득한 금융회사는 KB국민은행, 상호저축은행, 중소기업은행, 농협은행, 전국은행연합회 등이며 점차 확대될 것으로 보인다.

<이민형 기자>kiku@ddaily.co.kr