[디지털데일리 이상일기자] 앞으로 국내 금융회사들은 정보보호최고책임자(CSO)를 지정해야 한다. 또한 보안인력 및 IT예산도 일정수준으로 유지하는 것이 의무화된다.
23일, 금융위원회는 올해 상반기 발생한 현대캐피탈 고객정보유출 및 농협 전산장애 사고 등 금융회사 IT보안 전반에 대한 종합대책 마련 필요성에 따라 ‘금융회사 IT 보안강화 종합대책’을 발표했다. 이번 금융보안 가이드라인은 예상했던 것 보다 강도가 높은 것으로 평가된다.
앞서 금융위원회와 금융감독원은 IT 보안강화 TF(태스크포스)를 구성하고 그동안 금융회사들을 대상으로 서면점검, 현장점검 및 제도개선 작업 등 강도높은 보완책 마련 작업을 진행해왔다.
금융 당국은 이번 금융보안 종합대책과 관련, "사고발생에 따른 일시적 대응책이 아닌 근원적인 IT 보안강화 대책이 될 수 있도록, 경영진의 인식 전환과 IT 보안조직(인력․예산)의 실질적 역량 강화 등에 중점을 두고 추진됐다"고 밝혔다.
먼저, 이번 종합대책을 통해 금융 당국은 금융회사가 앞으로 IT보안과 관련 ▲CEO의 책임 부여, ▲정보보호최고책임자(CISO) 지정 의무화 등을 통해 책임관리시스템을 구축하고, ▲사고시 제재수준을 강화키로 했다.
또 IT보안 인프라 개선 및 내부통제 강화 등 기술적 보안관리 강화를 통해 해킹 등 침해사고 발생 가능성을 최소화하고 불가피한 침해사고에 대해서는 신속한 위기대응 및 재해복구 체계 구축으로 피해 확산을 차단키로 했다.
이번 종합대책에선 기업의 책임관리시스템 구축이 눈에 띈다. 그동안 권고사항이었던 정보보호최고책임자(CISO) 지정을 의무화 한 것. 또한 연간 IT 보안계획을 CEO가 직접 승인(책임부여)하고, 그 이행여부를 확인토록 하며, 임원성과평가와도 연계하도록 유도하기로 했다.
이에 따라 CISO 업무범위․자격요건 등을 전자금융거래법령 개정사항으로 명시하기로 했다.
또한 IT보안업무와 관련된 정보교류․주요 정책방향 협의 등 금융회사와 금융당국간 협력체계 강화를 위한 ‘CISO 협의회’운영이 추진된다.
IT 보안인력 및 IT 보안투자 확대도 진행된다. 현재 금감원이 IT 보안예산 비율을 5% 이상 유지토록 권고하고 있으나 준수의무가 없어 제대로 지켜지지 못하고 있는 실정이었다.
하지만 이번 보안대책을 통해 IT 보안인력비율 및 IT 예산비율을 일정 수준 이상 유지토록 의무화하기로 해 금융권의 보안관련 조직 개편이 불가피 할 것으로 전망된다.
또, 준수여부를 경영실태평가에 반영토록 함으로써 실질적 투자와 인력 확충으로 연결되도록 조치했다.
구체적인 비율 수준은 총자산규모, 직원수, 전자금융거래규모, 고객수, 국제기준 등을 감안하여 결정하되, 로드맵에 따라 단계적으로 높여 나갈 예정이다.
다만, 금융위원회는 권역별․회사별 특성을 감안해 규제 준수가 어려운 합리적 사유가 있는 경우, 그 사유를 소명토록 하여 탄력적으로 운영할 계획이다.
금융위원회는 전산사고 예방에 필요한 최소한의 IT보안업무 처리절차는 ‘금융회사 IT보안업무 모범규준(Best Practice)’ 마련해 8월중으로 시행에 들어가기로 했다.
한편 제도개선과 관련해 우선 전자금융감독규정 및 시행세칙 개정으로 반영할 수 있는 사항은 즉시 개정에 착수해 조속하게 시행할 계획이다.