금융회사의 보안 감독 방식이 사고 발생 후 제재에서 사전 예방으로 전환한다. 현재 방식으로는 되풀이되는 보안 사고를 막을 수 없다는 위기의식에서 출발한 결단으로, 국회와 금융당국, 보안 전문가가 합심했다.

금융감독원(이하 금감원)은 지난 7일 국회, 금융협회, 금융보안원, 학계 및 국내외 보안업계와 ‘금융보안 패러다임 전환 간담회’를 개최했다. 이찬진 금감원장은 개회사에서 “금융산업의 지속 가능한 발전을 위해서는 소비자 신뢰가 뒷받침돼야 한다”며 “금융 보안은 그 신뢰와 직결되므로, 소비자들이 안심하고 거래할 수 있는 디지털금융 환경을 함께 만들어 나가자”고 당부했다.

■ 보안 인식 전환부터 복원력 강화까지 감독체계 ‘재설계’ 금감원은 이번 간담회를 시작으로 ‘금융보안 인식 전환’에 집중한다. 규제 강화에 그치지 않고, 경영진부터 실무진까지 ‘사전예방적’ 보안 문화를 금융회사에 뿌리내리겠다는 다짐이다.

금감원은 금융회사의 최고정보책임자(CIO), 정보보호 최고책임자(CISO) 등 경영진과 소통하며 사내 보안 의식 제고를 독려하고, 실무자 대상 워크숍과 세미나를 통해 임직원의 보안 역량을 키운다. 금융회사에는 선제적 리스크관리 체계를 정착시킨다.

금감원은 금융회사가 모든 IT 자산을 빠짐없이 식별·관리하고, 중요도별 취약점을 보완하도록 유도할 방침이다. 또한 취약점 분석평가 제도의 실태점검을 강화하고, 금융회사 스스로 중요한 IT 리스크나 보안 취약점을 찾아 제때 개선하는 ‘자율 시정’ 체계를 활성화할 계획이다.

금감원은 사전예방적 감독방식과 금융회사의 선제적 위험관리를 연계한다. 금융회사의 보안 취약점 분석 결과에 따라 정기·불시 현장점검을 진행하고, 사고 개연성이 높은 회사를 선별해 경영진 면담을 진행하는 등 집중 관리할 예정이다.

이찬진 원장은 “기본적인 의무를 준수하지 않거나 내부통제가 미흡해 IT 사고가 재발하는 경우, 무관용 원칙으로 엄중히 책임을 물을 것”이라고 강조했다. 특히 지난 2월 가동한 ‘금융보안 통합관제 시스템(FIRST)’을 통해 중요한 보안 위협요인을 금융회사에 신속히 전파하고 자율 점검·시정을 유도하는 한편, 금융회사가 제출한 조치 결과의 적절성을 집계·평가하는 상시 감시·환류 체계도 고도화하기로 했다.

사고 대응 체계도 확립한다. 금감원은 침해사고·전산장애 발생 시 대응 절차를 표준화하고, 중대 사고에 신속히 대응할 수 있도록 가이드라인을 마련할 계획이다.

동시에 ▲합동 재해복구 전환 훈련 ▲블라인드 모의해킹 ▲버그바운티 등을 확대해 취약점을 사전에 발견·보완하고, 유사시 서비스가 빠르게 재개될 수 있도록 디지털 복원력을 강화할 방침이다. ■ 국회와 ‘전자금융거래법 개정안’ 처리 속도… 정보보호 수준 제고 금융회사의 정보보호 수준을 높이기 위한 제도 개선에도 속도를 낸다.

특히 현재 국회에 계류 중인 전자금융거래법 개정안 처리에 힘을 싣는다. 전자금융거래법 개정안(유동수 의원 등 10인 발의)에는 대표이사를 전자금융거래 이용자 보호를 위한 관리 조치의 최종 책임자로 명확히 하고, CISO를 이사회 의결을 거쳐 임면하고 독립적 업무 수행을 보장하는 내용이 담겼다.

정보보호 공시제도 마련, 전자금융거래정보 또는 개인신용정보 유출 등 중대 사고 발생 시 총매출액의 3% 이하 과징금을 부과하는 제재 강화 방안도 포함됐다.