27일 금융위원회는 급변하는 IT환경과 새로운 보안 리스크에 금융회사 등이 탄력적으로 대응할 수 있도록 '금융보안규제 선진화 방안'을 마련했다고 밝혔다.
이는 보안 취약점을 이용한 랜섬웨어, DDoS 공격 등 위협이 커지고 있지만, 대부분 금융회사가 금융보안을 정보보호최고책임자(CISO) 중심의 실무적 문제로만 인식하며 임기응변식으로 대응한다는 판단에서다.
이에 금융위는 정보보호최고책임자(CISO)의 권한을 확대하고, 중요 보안사항의 이사회 보고 의무화 등을 통해 금융보안을 기업의 핵심가치로 두도록 한다는 방침이다.
또 금융회사 등이 보안리스크를 스스로 분석‧평가하고, 리스크에 비례해 보안방안을 수립하는 리스크 기반 '자율보안체계'로의 전환을 추진한다.
동시에 금융위는 목표·원칙중심, 사후책임 중심으로 규제를 전환하기로 했다. 그 일환으로 안전성 확보의무를 인력·조직·예산, 내부통제, 시스템 보안, 데이터 보호 등으로 구분해 금융보안의 주요 원칙과 목표를 법에 명시하고 세부사항은 폐지할 계획이다.
아울러 금융회사 등이 자율보안체계를 구축하지 않거나, 보안사고가 발생한 경우 그에 따른 사후책임을 강화한다. 국제기준 등을 고려해 고의‧중과실에 의한 사고 발생 시 과징금 등 제도 신설을 검토할 예정이다.
금융당국의 관리‧감독방식도 자율·책임 원칙으로 전환한다. 금융보안원과 같은 금융보안 전문기관을 통해 금융회사 등의 자율보안체계 검증과 이행 컨설팅을 이어간다.
금융위는 내년 상반기 중 금융감독원과 금융보안원 등이 참여하는 TF를 가동한다. 보안규정의 우선순위, 규제 타당성, 금융회사 등의 보안역량 등을 종합적으로 평가해 규정을 정비할 예정이다. 규제체계도 포지티브에서 네거티브 방식으로 전환해 보안 자율성도 부여한다.
금융위 관계자는 "금융보안을 기술적 영역으로 한정함에 따라 기업의 핵심전략과 우선순위 등을 반영한 종합적인 보안전략 수립이 어렵고 리스크 대응에도 한계가 있다"면서 "TF를 중심으로 보안규제 선진화 로드맵을 검토할 예정"이라고 말했다.
뉴스웨이 차재서 기자
sia0413@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글