금융 당국이 금융보안 규율체계를 사후책임 중심으로 전환한다. 금융 당국이 주요 원칙과 목표만 제시하고 세부사항은 금융회사 자율에 맡기는 방식이다. 대신 고의·중과실 사고는 과징금 부과 등을 검토한다.
금융위원회는 27일 급변하는 IT환경과 새로운 보안 리스크에 금융회사 등이 탄력적으로 대응할 수 있도록 이 같은 내용의 ‘금융보안규제 선진화 방안’을 마련했다고 발표했다. 금융위는 내년 상반기 금융감독원·금융보안원·IT전문가 등이 참여하는 ‘금융보안 규율체계 정비 태스크포스(TF)’를 구성해 장기 로드맵 검토에 착수할 계획이다.
우선 금융 당국은 금융회사가 전사적 차원에서 금융보안을 준수할 수 있도록 정보보호최고책임자(CISO)의 권한을 확대한다. 중요사항은 이사회 보고를 의무화한다. 금융보안을 기업의 핵심가치로 제고하기 위해서다.
미시적·경직적 보안규정, 수동적 보안활동은 리스크에 비례한 자율보안체계로 틀을 바꾼다. 전자금융거래법상 안전성 확보의무를 인력·조직·예산, 내부통제, 시스템 보안, 데이터 보호 등으로 구분해 필수사항만 남길 예정이다. 감독 당국 역시 규정위반 여부에 골몰하는 게 아니라 자율보안체계 수립?이행 검증에 집중한다.
다만 금융회사가 자율보안체계를 구축하지 않거나 고의·중과실에 의한 보안사고가 발생한 경우 엄벌하기로 했다. 손해배상책임도 묻는다는 방침이다.
아울러 금융 당국은 카카오 데이터센터 화재사고 후속조치로 일정 규모 이상 전자금융업자에게 재해복구센터 설치 의무를 부여하고 전자금융 사고시 책임 이행 보험금 가입 기준을 상향하는 방안 검토에 들어갔다.
금융위 관계자는 “종국에는 규제체계를 포지티브(열거주의)에서 네거티브(포괄주의)로 전환해 금융회사에 보안 자율성을 부여할 것”이라고 말했다.
