법제도/정책

금융당국, 금융IT보안 규제 전환 박차 “‘자율보안체계’ 기반 조성”

이유지

[디지털데일리 이유지기자] 금융당국이 금융IT보안 규제를 정부 주도의 사전규제 방식에서 탈피해 민간 중심의 자율규제와 사후검사 방식으로 전환하는데 박차를 가하고 있다. 금융사에 자율성을 부여하면서 책임성은 강화하는 차원에서 스스로 정보보안과 내부통제를 강화하도록 유도할 방침이다.

김유미 금융감독원 IT·금융정보보호단 선임국장은 4일 오후 전경련플라자에서 금융보안원이 개최한 ‘2015 금융정보보호 세미나’에서 “핀테크와 맞물려 금융 서비스가 더욱 다양해지는 등 많은 변화가 있는 상황에서 금융보안 규제 패러다임도 사전 규제 중심에서 원칙 중심으로, 금융사 자율과 책임을 높이는 방향으로 변화하고 있다”고 말했다.

이어 김 선임국장은 “패러다임 전환에는 상당한 시간과 노력이 필요한만큼 금융사가 자율적인 IT보안체계를 구축할 수 있도록 지원방안을 논의하고 있다”며 핵심 내용을 소개했다.

금융사들의 자율적 보안체계 확립을 지원하기 위해 금융위원회와 금융감독원은 현재 여러 금융협회, 금융보안원을 비롯한 관계기관·전문가들과 함께 테스크포스(TF)를 구성해 지난 4월부터 추진방안을 논의 중이다. 초점은 금융사들의 ▲자율시정기능 강화 ▲IT보안 역량 향상 유도 ▲자율적 보안성 검토 기반 구축 ▲감시체계 강화에 맞춰져 있다.

자율시정 기능을 강화하기 위해 금감원은 금융회사와의 IT부문 내부감사 협의제도를 한층 내실화할 방침이다.

금융사는 금감원과 내부 감사 항목 등을 사전에 협의해 자체감사를 실시하고 IT보안 취약점을 발굴·개선한 뒤 이행결과를 금감원에 제출, 사후관리를 진행하는 방식이 추진된다.

점검항목도 확대한다. 현재 외부주문, 전자금융사고 책임이행보험 등 6개 분야 13개 항목을 대상으로 실시되고 있으며, 항목을 더 늘려 내실을 기하도록 유도하겠다는 것이다.

IT 내부통제 역량이 부족한 중소 금융회사 지원방안도 마련했다. 금융협회나 금보원을 통해 IT 내부감사 운영 가이드를 마련해 제공토록 하고, IT 내부감사요원 양성을 위한 교육프로그램도 개발, 운영토록 할 방침이다.

금융위·금감원과 금융회사, 금융사 간, 권역간, 관리자·실무자 직급별 협의채널도 다각화·정례화한다. 이같은 채널을 활용해 우수·사고사례를 전파할 뿐만 아니라 상시 규제개선 건의 창구로도 활용할 계획이다.

금보원이 운영하는 금융 정보공유분석체계(ISAC) 외에도 이상금융거래 정보공유 전용의 이상금융거래시스템(FDS) 정보공유시스템도 구축·운영키로 했다. FDS 추진 협의체도 은행·증권사 외에 카드사, PG사 등까지 포함시켜 정보공유 효과를 극대화할 수 있도록 확대한다.

한편, 보안성 심의 의무를 폐지하는 대신에 자율적인 보안성 검토체계를 구축하고, 핀테크 업체가 보유한 기술에 대한 보안수준 진단 체계도 마련할 방침이다.

이와 관련해 김 선임국장은 “보안성 심의 의무가 폐지되면서 신기술을 활용한 신규 서비스를 출시하기 전에 보안수준이 제대로 측정되지 않은 상태에서는 바로 시행하는데 두려움이 있을 수 있고 이용자들의 신뢰성을 확보하기도 힘들 수 있다”며 “자율 보안성 검토 체계를 구축하고 금보원 등 전문기관을 통해 핀테크 기술 보안수준 진단 체계 진단이나 인증체계도 마련돼야 한다”고 강조했다.

IT리스크에 대한 상시감시 체계 강화 방안으로는 우선 금융회사가 금융IT·정보보안 연간계획을 면밀히 수립해 그 내용을 제출토록 할 방침이다. 아울러 IT인력·예산비율·정보보안책임자(CISO) 지정, 전자금융사고 책임이행보험 등의 법규 준수현황을 정기적으로 분석·평가해 검사시에 활용하기로 했다.

한편, 금융위와 금감원은 지난 2월부터 전자금융감독규정 등을 개정해 금융보안 규제를 완화하고 있다. 이에 따라 매체분리 원칙, 보안프로그램 설치 의무, 공인인증서 사용 의무, 보안성심의 의무 등이 모두 폐지된다.

<이유지 기자>yjlee@ddaily.co.kr

이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널