[디지털데일리 이민형기자] 금융당국은 내년까지 전자금융거래법 개정을 통해 금융권 보안관제기구 설치 근거를 마련하고 운영에 들어갈 계획이다.
김윤진 금융감독원 부국장<사진>은 4일 서울 한국과학기술회관에서 열린 ‘제7회 금융정보보호 컨퍼런스’에서 “금융당국은 지난 7월 발표한 금융전산 보안강화 종합대책에 따라 보안관제기구(금융전산 보안 협의회) 설립을 위해 내년 중 전자금융거래법 개정으로 근거를 마련, 운영을 시작할 것”이라고 밝혔다.
금융전산 보안 협의회는 금융결제원, 코스콤, 금융보안연구원, 금융정보보호센터 등 금융보안을 담당하는 기관간 역할이 중복되는 문제를 해결하기 위해 금융위 주관하에 운영되는 금융권의 컨트롤타워다. 협의회에는 금융보안 관련기관을 비롯해 금융회사가 참여하게 된다.
김 부국장은 “3.20 전산망해킹 사고 당시 금융권에 대한 사고였음에도 불구하고 미래창조과학부, 한국인터넷진흥원(KISA)의 주도로 분석이 진행됐다”며 “금융권 보안을 전담하는 기구를 만들어 효율적인 운영이 필요하다고 판단해 설치를 추진하게 됐다”고 설명했다.
이어 “협의회 금융권에서 보안사고가 발생했을 때 원인을 분석하고 대응책을 만드는 등의 역할을 수행하게 될 것”이라고 덧붙였다. 금융당국은 올해 법안 개정을 위한 현안을 분석, 연구한 뒤 내년께 개정안을 내놓을 계획이다.
금융당국은 이와 함께 최고정보보호책임자(CISO) 전임제, 금융보안 관리체계 인증 제도화에 대한 근거도 내년 중 마련한다.
현재 최고정보책임자(CIO)가 CISO를 겸직함에 따라 업무상 경계가 모호하고, 이해상충시 보안보다 효율성이 우선되는 상황을 해소하기 위해서다.
이에 대해 김 부국장은 “해외의 많은 금융회사들이 CISO 독립성을 보장하고 있다. CISO 전임제 도입은 이번 대책의 핵심 중 하나”라며 “내년 중 관련 법 개정으로 CISO의 겸직금지, 인사상 불이익을 금지할 수 있도록 할 것”이라고 강조했다.
아울러 금융위는 정보통신망법에 근거한 정보보호관리체계(ISMS) 인증 대신에 금융보안 관리체계 인증제도에 대한 근거를 내년 중 수립해 실시할 계획이다.
하지만 미래창조과학부는 지난 4월 ‘금융회사는 무조건 ISMS 인증을 획득해야한다’는 유권해석을 내린바 있어 양 부처가 ISMS 인증을 두고 갈등을 빚을 것으로 예상된다.