은행·보험사·증권사 등 금융 업체들이 정보보호 관리와 관련 미래창조과학부와 금융위원회의 중복 규제를 받을 상황에 처했다. 불필요한 규제를 개선하겠다는 정부 방침에 어긋나는 행정이라는 지적이 나오고 있다.
11일 미래창조과학부와 금융 업계에 따르면 미래부는 지난 2월 ‘정보통신망법 시행령 및 시행규칙’을 입법예고하면서 매출액 1,500억원 이상이면서 민감한 정보를 다루는 금융 업종, 의료기관 등은 정보보호 관리체계(ISMS) 인증을 반드시 받도록 했다. ISMS는 기업이 현재 수립, 운영하는 정보보호 체계가 적합한지, 위기 상황에서 대처능력이 올바른지 등을 점검하는 관리체계이다. 개인정보 유출을 사전에 막고 사고 발생시 재빠르게 대처할 수 있도록 기업의 정보보호 관리 체계를 점검한다는 측면에서 반드시 필요하다.
문제는 이 같은 정보보호 관리체계를 금융 업계에 적용하면 중복 규제가 발생할 수 있다는 점이다. 현재 금융 업체들은 금융위원회에서 정한 전자금융거래법에 따라 이 같은 정보보호 관리 체계를 수시로 점검 받고 있다. 또 은행 등 규모가 큰 금융 업체들은 주요 정보통신기반시설로 지정돼 매년 3개월가량 취약점 분석 평가까지 받고 있다. 금융권에서는 전자금융거래법에 따라 이미 정보보호 관리 체계를 점검 받는 상황에서 미래부의 ISMS 인증까지 받게 되면 불필요한 비용과 인력낭비가 발생한다고 설명하고 있다. 한 금융 업체 관계자는 “자체 분석해본 결과 미래부의 ISMS 인증 항목과 금융위의 정보보호 점검 항목이 90%가량 일치, 또는 유사하다”며 “이미 금융위로부터 이러한 정보보호 점검을 받고 있는데 미래부의 ISMS 의무 인증까지 추가로 받으려면 컨설팅 비용과 인력 고용 등으로 연간 수억원가량 추가 비용 부담이 발생할 수 있다”고 설명했다. 금융 업계에서는 미래부의 ISMS 인증이 시행되면 100여개 금융 회사가 이를 적용 받게 되고 연간 추가로 소요되는 비용이 230억원 정도일 것으로 예상하고 있다.
정부 내에서도 중복 규제의 위험성이 있다는 의견이 나오고 있다. 미래부는 금융 업체들이 민감한 개인정보를 다루는 만큼 반드시 ISMS 인증을 받아야 한다는 입장이지만 금융위는 중복 규제여서 불필요하다는 의견이다. 금융위 관계자는 “ISMS 인증과 현재 금융위의 정보보호 관리 체계 인증은 대다수 항목이 유사하다”며 “금융 업체들에 ISMS 인증을 별도로 요구해야 할 필요가 없을 것으로 본다”고 설명했다.
