[스페셜 리포트] 2015년 금융IT감독 방향, 핵심 내용은?

[디지털데일리 박기록기자] 결과적으로, 최근의 핀테크의 열풍은 지난 수년간 국내 금융권에 적용돼왔던 엄격한 보안 IT 감독 정책기조를 완전히 뒤바꿔 놓았다.

멀리는 지난 2011년 3월, 농협 전산마비 사태로 촉발된 강력한 규제 일변도의 금융보안 정책기조가 이제는 핀테크 활성화를 계기로 일단 그 방향성에 종지부를 찍게됐다.

이제부터는 금융회사 스스로가 사실상 모든 책임을 떠안아야한다.

금융회사가 공인인증서를 채택할 지 여부를 스스로 결정해야하며, 금융감독 당국은 이에 더 이상 간여하지 않는다. 금융보안 사고에 대한 책임의 범위가 사실상 무한대로 넓어졌다는 점에서 오히려 금융회사 입장에서는 앞으로 더욱 보안에 집착해야하는 상황이 됐다.

‘그렇다면 이제 금융감독 당국의 역할을 무엇이냐’는 질문을 던지게 된다.

그러나 해외 금융선진국의 사례를 본다면, 원칙적으로 금융감독 당국의 이같은 정책기조는 방향성이 맞다.

그동안 금융보안이 가지는 중대성과 빈번한 금융보안 사고때문에 반론의 목소리가 주목받지 않았지만 그동안의 금융보안 규제중 몇몇 사안들은 금융회사의 자율성을 지나치게 침해한다는 지적이 적지않았다. ‘자율’이라는 옷이 당분간 금융권에는 어색할 수 밖에 없겠지만 보안은 규제와 관리, 감독에 기대는 것이 아니라 금융회사 스스로 해결해야 할 과제다.

‘편한 금융거래의 구현’과 ‘더 안전한 금융보안’, 이 두 가지의 가치를 앞으로 국내 금융권은 동시에 달성해야한다.

물론 대형 금융회사와 중소형 금융회사, 각각의 상황에 따라 대응 방법은 더욱 다양화될 것으로 전망된다. 이 과정에서 금융회사간 금융보안 수준의 격차는 더욱 벌어질 가능성도 배제할 수 없다.

지난 2일, 금융감독원이 개최한 ‘2015년 금융감독 업무 설명회’에서 발표된 내용은 이러한 정책기조의 변화가 확인된 자리였다. 이날 발표된 주요 내용을 아래와 같이 정리한다. <편집자>

◆ 2015년 금융IT 감독 방향 (표 참조)

‘금융거래 및 규제환경 개선’에 전체적으로 정책의 방향성이 맞춰졌다. 사전규제를 최소화하고 기술 중립성 원칙을 지키되 책임부담은 더욱 분명히 했다. 이와함께 한국형 인터넷 전문은행 모델 수립과 금융상품 판매채널이 혁신을 강화한다.

전체적으로는 핀테크 기업 자금조달 지원, 전자금융업 진입 장벽완화 등 핀테크 지원체계 구축은 가장 힘이 실려있다.

‘보안성 심의’ 제도 대폭 개선 : 신규전자 금융거래에 대한 보안성 심의는 전면 폐지된다. 보안성 심사기간이 사안마다 상이해 금융회사가 적기에 사업을 추진하는데 어려움이 있다고 본 것이다. 통상적으로 보안성 심의기간이 2개월이지만 사전협이 등을 포함하면 6개월 정도가 걸린다.

또한 현실적으로 보안성 심의를 통한 신기술 검증이 한계가 있다고 보았다. 이외에 보안성심의만 통과하면 금융회사의 사후적인 서비스 보안점검 노력이 느슨해지는 모럴해저드도 있었다.

기술중립성 원칙 구현 : 특정기술 사용의무를 폐지하는데 초점이 맞췄졌다. 금융감독원은 공인인증서, 액티브 X 등 특정한 기술의 사용을 의무적으로 강제하는 것이 금융회사의 자율적인 보안구조 설정 노력 및 다양한 보안 및 인증기술 개발을 저해할 수 있다고 보았다. 액티브 X와 관련, 은행과 증권사를 대상으로 액티브 X 제거 이행상황을 점검해 나갈 방침이다.

전자금융서비스에 대한 보안강화 : 금융권 FDS(이상금융거래감지시스템) 구축 및 고도화 추진, 시장 자율적인 금융보안 인증체계 도입에 정책의 초점이 맞춰졌다. 금융 당국은 FDS 구축 3단계 로드맵에 따라 관련 시스템을 구축하도록 금융회사 지도에 나서며, ‘금융권 FDS 구축 협의체’를 지속적으로 운영해 나갈 계획이다.

금융회사 및 핀테크 업체들의 보안인증(PCI-DSS, ISMS 등) 획득을 유도하고, 중장기적으로 국내 금융환경에 적합한 보안인증체계를 시장에서 개발하도록 지원한다. 이와함께 금융권역별 CIO, CISO, 보안실무자 등을 대상으로 IT감독 방향에 대한 정보교환 협의회를 개최하고, IT보안 관련 유관기관과의 정보공유 공제체계도 강화한다.

핀테크 생태계 조성 지원 : 핀테크 상당지원센터 운영, 핀테크 기술진단포럼 정례화(분기 1회 이상), ICT업체들까지 참여하는 핀테크 원탁회의 개최해 선제적 대응방안 논의 등을 주요 정책과제로 설정했다.

정보처리 및 전산설비 위탁규정 개정 : 올해 상반기 중으로 관련업계의 의견을 청취하고 금융위원회와 협의해 위탁규정 개정안을 마련할 방침이다. 심사기간 단축 및 위탁 업무별 특성에 따라 처리 절차를 간소화하는 방안을 강구할 계획이다.

전자금융거래법 주요 개정사항 : 전자자금이체 업무를 수행하는 모든 금융회사 및 전자금융업자를 대상으로 전자자금 지연이체 제도를 도입한다.

정보보호 최고책임자(CISO) 겸직도 금지된다. 전자금융업무 및 정보기술부분 보안의 독립성과 책임성을 확보하기 위해서다. 단 총자산 규모가 10조원 이상이며 종업원수가 1000명 이상인 금융회사가 대상이다. 현재 43개 회사가 이 법의 적용을 받아야한다.

상거래 종료시 5년내 전자금융거래 기록은 신용정보를 제외하고 의무적으로 파기해야한다. 개인정보에 대한 관리소홀로 개인정보 노출시 불법이용의 피해가 우려되기 때문이다.

정보보호업무의 재위탁도 엄격해진다. 전자금융보조업자의 정보보호업무 재위탁은 원칙적으로 금지된다. 단 금융위원회 인정시 재위탁은 허용될 수 있다.

징벌적 제재도 강화된다. 징벌적 과징금 도입(전자금융거래 정보를 제공, 누설하거나 업무목적외 사용시 50억원 이하 과징금 부과), 벌칙 강화(전자척 침해행위 및 제3자 정보 제공시 10년 이하 징역 또는 1억원 이하 벌금(기존 7년, 5000만원), 과태료 신설(전자금융거래 안전성 확보의무 다하지 않는 경우 5000만원 이하 과태료 부과) 등이 주요 내용이다.

전자금융감독규정 주요 개정사항 : 금융회사 등의 기술 자율성 제고(단말기 보호대책 자율화, 매체분리원칙 삭제 등 올해 2월3일부터 시행)를 강화한다. 공인인증서 사용의무 폐지, 인증방법평가위원회 폐지 국가인증 정보보호제품 사용의무 폐지(3월18일부터 시행)

내부통제 강화를 위해 CISO의 매월 정보보안 점검 및 CEO 보고 의무화, 외부주문 통제 강화(시스템 개발장소 및 전산설비를 내부와 분리 등), 전자금융사고 보고 창구를 금융감독원으로 일원화 등은 올해 4월6일부터 시행에 들어갔다.

◆ 2015년 금융IT 검사 방향

금융회사의 자율성을 존중하고 책임성 강화 방향으로 감독 및 검사 방향 전환한다. IT검사 부분에 있어서는 개선 등 지도 위주의 IT검사 실시로 금융회사가 자율적으로 IT보안 체계를 구축하도록 지원할 계획이다.

한편 반복 위반사항, 정보유출, 경영진의 무관심 및 투자 소홀로 IT사고 발생시 기관 및 경영진에는 중징계 조치를 내리고 전자금융거래법령 위반에 대해서는 금전적 제재를 강화할 방침이다.

IT검사 세부 추진방향 : 금융회사가 자체적으로 IT보안 표준지침 및 체크리스트를 활용하여 점검 및 시정토록하고 금감원은 그 적정성 점검에 주력함으로써 금융회사의 자체점검 활성화를 유도한다.

금융회사 스스로 IT보안 취약점 등을 발굴하고 개선하도록 IT부문 내부감사협의제도를 적극적으로 운영한다. 금융회사의 보안취약점은 해당 금융회사가 가장 잘 파악하고 있다고 보기 때문이다. 참고로, 금감원과 금융회사가 내부감사 항목 등을 사전협의하여 자체 감사를 실시한 결과 2015년에는 38개 금융회사(은행 9개, 보험사 7개, 여전사 7개, 증권사 15개)를 대상으로 우선 실시에 들어갔다.

문제 소지 부문 중심의 기획, 테마 검사를 강화한다. 전산장애, 정보유출 등 IT사고 발생시 사고원인 규명 및 고객피해 확산 방지 등을 위해 사고검사를 즉시 실시하고 상시감시 결과 나타난 IT보안 및 고객정보 보호관련 취약점 등에 대해서는 불시 현장점검을 실시한다.

IT리스크에 대한 상시 감시체계도 강화된다. IT인력 및 예산비율 준수, CISO 지정 및 전자금융사고 책임이행보험 가입 현황 등 감독규정 준수 현황을 상시 감시하고 발견된 문제점 및 취약점에 대해 현장 검사시 집중 점검한다. 한편으론 금융회사의 수검 부담을 완화시키기 위해 IT검사 매뉴얼 간소화를 추진한다.

<박기록 기자>rock@ddaily.co.kr