금융보안규제 '규칙'에서 '원칙'으로…당국, 자율체계 강화
금융위 '전자금융감독규정' 일부개정규정안 의결
행위 규칙 293개→166개…"자율 보안·결과 책임"
![[서울=뉴시스] 배훈식 기자 = 서울 종로구 정부서울청사 금융위 회의실 앞에서 직원들이 이동하고 있다. 2023.11.05. dahora83@newsis.com](https://img1.newsis.com/2023/11/05/NISI20231105_0020117051_web.jpg?rnd=20231105175714)
[서울=뉴시스] 배훈식 기자 = 서울 종로구 정부서울청사 금융위 회의실 앞에서 직원들이 이동하고 있다. 2023.11.05. [email protected]
금융위원회는 5일 서울정부청사에서 정례회의를 개최, '전자금융감독규정' 일부개정규정안을 심의·의결했다. 개정안은 금융권의 자율보안 토대를 마련하고, 금융전산 복원력을 강화해 재해·전자적 침해 등으로부터 금융시스템을 안정적으로 보호하는 내용을 담았다.
기존 '전자금융감독규정'은 금융보안기준을 행위규칙(Rule) 중심으로 지나치게 세세하게 규정해 금융회사 등이 '규정만 준수하면 면책'이라는 소극적 인식을 갖게 하고 상황별 유연한 보안대응을 어렵게 한다는 지적을 받아왔다.
금융보안을 정보보호최고책임자(CISO)와 정보보호부서 만의 일로 여기는 경향으로 인해 전사적 차원에서 적극적으로 보안 역량 강화에 힘을 쏟기 어렵다는 의견도 제기됐다.
금융위는 이에 '전자금융감독규정'을 원칙(Principle) 중심으로 기술해 자율보안체계를 구축할 수 있도록 유도하는 한편 293개에 달하는 세세한 행위규칙을 166개로 정비했다.
건물·설비·전산실 관리 및 각종 내부통제·사업운영 등과 관련해 금융회사의 자율성을 대폭 확대했고, 정보보호최고책임자(CISO)가 정보보호위원회 주요 심의·의결사항 등을 이사회 보고하도록 해 보안 관련 내부의사결정 체계를 개선했다.
향후 금융당국은 '전자금융감독규정' 개정에 이어 '자율보안 - 결과책임'을 주요 내용으로 하는 디지털 금융보안법제를 마련, 금융보안 패러다임을 자율보안체계로 전환해 나갈 예정이다.
금융위는 2022년 카카오 데이터센터 화재 이후 제기된 금융전산 복원력(Cyber Resilience) 강화와 신속한 소비자 피해구제 필요성에 따라 재해복구센터 설치를 강화한다.
개정 감독규정에 따라 현재 재해복구센터 설치가 의무화돼 있는 은행, 금융투자업자, 보험회사 외에 일정 규모를 갖춘 여신전문금융회사와 전자금융업자 등도 의무적으로 재해복구센터를 설치하게 된다.
금융소비자 피해 구제를 강화하기 위해 전자금융사고시 책임이행보험등의 최저 보상한도도 상향된다. 자산 2조원 이상 금융투자업자의 경우 5억원에서 10억원으로, 선불전자금융업자 등의 경우 1억원에서 2억원으로 각각 상향된다.
개정 '전자금융감독규정'은 고시 후 즉시 시행된다. 다만, 정보보호위원회의 주요 심의·의결사항의 이사회 보고와 관련한 규정은 금융회사등의 내규 정비 등 준비기간을 고려해 고시한 날로부터 6개월 후인 오는 8월5일부터 적용된다. 책임이행보험의 한도상향과 재해복구센터 설치와 관련한 규정은 금융회사등의 보험 가입기간 및 물적설비 구축기간 등을 감안해 1년 후인 내년 2월5일부터 적용된다.
금융위는 "이번 개정으로 클라우드 서비스 도입, 생성형 인공지능(AI) 활용 등 빠르게 변화하는 금융 IT환경에서 금융회사등이 전사적인 차원에서 보안위협을 스스로 진단해, 복잡하고 다변화되는 위험에 유연하게 대응해 나갈 수 있을 것으로 기대된다"고 밝혔다.
또 "향후 국민들이 재해발생 시에도 금융서비스 중단에 대한 우려 없이 안심하고 서비스를 이용하는 한편 두텁게 피해구제를 받을 수 있을 것으로 보인다"고 설명했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지