서비스

금융사 IT규제 '5・5・7기준’ 사실상 폐지, ‘금융보안 거버넌스 가이드’ 개정

이상일
[디지털데일리 이상일기자] 금융보안원이 ‘금융보안 거버넌스 가이드 개정안’을 2일 발표, 시행에 들어갔다.

개정안에선 그동안 준수돼 온 ‘5・5・7기준’에 대한 권고가 그대로 유지됐지만 이를 따르지 않는 금융사에 대한 ‘공시’ 등의 의무가 없어지면서 금융사들이 보다 자유로운 보안 정책을 수립할 수 있게 됐다. 사실상 규정의 폐지로 받아들여진다.

금융권은 2011년부터 금융회사 등이 일정 수준 이상 IT・보안 인력 및 예산을 확보하도록 권고하는 하한선 기준인 일명 ‘5・5・7기준’을 마련하고 준수해왔다.

이는 IT인력을 전체 인력의 5% 이상 확보하고 전체 IT인력 중 보안인력을 5% 이상 확보, 안 전체 IT예산 중 보안예산을 7% 이상 확보하는 것을 내용으로 한다.

다만, 이 기준이 2020년 1월 1일까지만 효력을 가짐에 따라 금융권이 적정 IT・보안 인력 및 예산을 확보하기 위한 ‘민간 중심의 자율 기준’ 이 필요하게 됐다.

이에, 금융보안원(원장 김영기)은 ‘금융보안 거버넌스 가이드’를 개정해 금융권의 IT・보안 인력 및 예산에 관한 권고 기준을 제시했다.

이번 가이드에 따르면 금융회사 등은 안정적인 정보보호 활동을 위해 적정한 보안인력 및 예산을 확보할 필요가 있으며 적정한 보안인력 및 예산은 금융회사 등이 대내외 환경 및 자체 위험분석 결과 등을 종합적으로 고려해 산정하도록 했다.

금융회사 등은 산정한 보안인력 및 예산 비율이 자사의 위험 등을 적절히 반영했는지 주기적으로 검토해야 한다.

다만 전자금융거래에 대한 최소한의 안정성 확보를 위해 일정 비율이상의 IT・보안 인력 및 예산을 확보할 필요가 있다고 보고 5・5・7 기준의 비율을 최소한 준수할 것을 권고했다.

금융보안원 관계자는 “금융감독당국의 규제 관련 조항이 ‘일몰’되면서 강제성은 없어졌다”며 “글로벌 사례를 봐도 5・5・7 정도의 비율은 유지하는 것은 일반적이어서 이를 권고하게 됐다. 하지만 금융사의 재량은 확대 될 것”이라고 밝혔다.

금융보안원은 금융회사 스스로가 안전하고 신뢰할 수 있는 서비스 제공에 필요한 보안수준을 확보해나갈 수 있도록 금융당국 및 금융회사를 지속적으로 지원할 계획이다.

<이상일 기자>2401@ddaily.co.kr

이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널