[매일일보 김경렬 기자] 앞으로 금융사에 보안사고가 발생하면 더 무거운 사후 책임을 지게 될 전망이다. 자율보안체계를 구축해 보안 리스크에도 적극적으로 대응해야 한다. 규정상에 있는 보안 의무만 수동적으로 준수해왔던 낡은 관행을 털어내겠다는 의지다.
27일 금융위원회·금융감독원·금융보안원은 금융보안 규제 선진화 방안을 마련했다. 정보기술(IT) 환경의 변화에 따른 보안 리스크에 대응하기 위해서다.
이번 방안은 보안 거버넌스를 개선해 전사적 차원에서 금융보안을 준수하고, 자율보안체계를 구축하도록 금융당국 차원에서 유도한다는 계획이다.
구체적으로 정보보호최고책임자(CISO)의 권한은 확대된다. 중요 보안 사항은 이사회에 의무적으로 보고해야한다. 금융사는 자율보안체계로 전환해야한다. 보안리스크를 스스로 분석·평가한 후 리스크 보완방안을 마련해야한다.
보안 규제도 정비한다. 금융사가 자율보안체계를 구축하지 않거나, 보안사고가 발생할 경우 사후 책임이 강화된다. 금융위원회는 국제 기준을 고려해 고의·중과실에 의한 사고가 발생하면 과징금을 부과하는 등의 제도 신설을 검토할 예정이다.
전자금융감독규정 규제는 목표·원칙 중심으로 전환한다. 세부 보안 규정은 가이드라인 또는 해설서를 만들 방침이다.
금융당국은 카카오 데이터 센터 화재 사고에 대한 후속 조치로 일정 규모 이상의 전자금융업자에게 재해복구 센터 설치 의무를 두는 방안, 전자금융 사고 시 책임 이행을 위한 보험금 가입 기준을 상향하는 방안 등도 검토할 예정이다.
금융당국의 관리·감독 방식은 자율보안체계 수립·이행 여부를 검증하는 방향으로 전환된다. 기존 보안규정 위반 여부를 감독하던 방식에서 벗어난다는 목표다. 금융당국의 지원·컨설팅도 강화한다. 금융사들이 보안 거버넌스 구축을 위한 기술을 공유하고 인력 양성 교육을 받을 수 있도록 할 계획이다.