‘금융회사가 스스로 보호해야 한다. 악의적 사용자에게 구상권을 청구할 수 있도록 FDS(이상금융거래탐지시스템)과 같은 장치를 보강하는 등 금융회사 스스로 투자를 강화해야 한다’ (금융감독원)

2일 오후, 서울 여의도 금융감독원 2층 대강당에서 열린 ‘2015년도 금융감독 업무설명회’에서 나온 질의와 답변 내용이다. 금융권 CIO 및 CISO, 관련 IT업계 관계자 등 250여명이 참석한 이날 설명회에서는 핀테크 시대를 맞이해 금융권이 느끼는 불안과 고민이 고스란히 투영됐다.

최근 핀테크의 확산으로 금융보안과 관련한 기존의 의무규정과 규제들이 속속 철폐되고 있지만 이와 동시에 금융보안 사고의 가능성 또한 높아지고 있다.

상당수의 금융보안 의무 규제가 사라진 이상, 금융회사의 입장에서는 기존의 불편했던 금융보안 장치와 프로세스들을 과감하게 떼어낼지 아니면 그대로 유지할 것인지 힘든 선택을 해야하는 상황에 직면하고 있다. 실제로 이날 참석한 금융회사 IT 및 보안 담당자들의 질의는 대부분 여기에 집중됐다.

또 다른 참석자도 ‘핀테크 결제시 보안카드 또는 OTP를 안써도 되는가?’를 질의했다. 즉 ‘만약 안써서 사고나면 그땐 누가 책임지는가’ 라는 의미인데, 이에 금융감독원은 “입법부와 행정부 등 다방면에서 논의하고 있다. 조금 더 지켜봐야 한다”고 답변했다.

◆금융보안, 당국 관리감독에서 자율규제 시대로 대전환 = 물론 그러면서도 금융감독원은 이날 설명회에서 핀테크의 활성화에 부응하기위해 앞으로는 ‘규제 철폐’ 중시의 금융보안 정책 기조를 유지할 것임을 분명히 했다.

이와 관련하여 금융감독원은 ▲신규 전자금융거래에 대한 보안성심의 전면폐지 및 금융회사 자체의 취약점 분석 내실화 유도 (2014년 2분기중 시행) ▲계좌이체 등 전자금융거래서 공인인증서 사용의무 폐지(2015년 3월18일 시행) ▲은행, 증권사 금융거래시 액티브-X 제거 유도 ▲금융권 FDS 구축 및 고도화 추진 ▲시장 자율적인 금융보안 인증체계 도입(PCI-DSS, ISMS 등 핀테크 업체들의 보안인증 획득 유도) 등 금융보안과 관련한 획기적인 자율규제 정책들을 제시했다.

다만 금융 보안업계 전문가들은 ‘자율규제 방식 위주의 금융보안 정책기조는 금융 IT보안 투자 여력이 있는 대형 금융회사와 그렇지 못한 중소형 금융회사간의 금융서비스 격차를 더 벌어지게 할 수 있다’고 지적한다. 핀테크 열풍에 따라 편한결제만 강조될 경우 중소형 금융회사들의 금융보안 위험이 더 커질 수 있기때문에 보완책도 마련돼야한다는 것이다.

◆금융회사 책임범위 대폭 강화 = 한편 금융보안 사고시 금융회사들의 책임 범위는 기존보다 훨씬 더 넓어졌고 벌칙은 대폭 강화됐다. 자율정책 기조는 유지하는만큼 금융회사 스스로 보안을 강화하라는 강력한 요구인 셈이다. 실제로 정부는 최근 전자금융거래법 개정을 통해 벌칙 규정을 대폭 강화했다.

특히 ‘정보보호업무의 재위탁 금지’가 눈에 띤다. 위탁업체 관리소홀로 인한 전자금융거래 정보보 보호및 안전한 처리를 저해할 우려가 있다고 보고, 전자금융보조업자의 정보보헙무 재위탁을 금지시킨 것이다. 다만 금융위원회의 인정시 재위탁을 허용할 수 있도록 예외규정을 두었다.

징벌적 제재와 관련해서는 ▲징벌적 과징금 도입(전자금융거래 정보를 제공, 누설하거나 업무목적외 사용시 50억원 이하 과징금 부과), ▲벌칙 강화(전자척 침해행위 및 제3자 정보 제공시 10년 이하 징역 또는 1억원 이하 벌금(기존 7년, 5000만원), ▲과태료 신설(전자금융거래 안전성 확보의무 다하지 않는 경우 5000만원 이하 과태료 부과) 등 관련 개정 내용이 시행에 들어간다.

이와함께 금융감독원은 CISO가 내부 정보보안 점검 내용을 매월 CEO에게 의무적으로 보고하도록 했다.

<박기록 기자>rock@ddaily.co.kr