내년 상반기 '금융보안 규제 TF' 구성···과징금 등 사후책임 강화

금융위 '금융보안 규제 선진화' 발표···자율보안체계 추진

목표·원칙 중심 규제에 세부 규율 내용은 '해설서'로 전환

금융보안 규제 선진화 방안 기본 방향. [사진= 금융위원회]

정부가 그간 금융보안 문제에 소홀했던 인식을 개선하기 위해 대대적인 보안 규제 정비에 나선다. 금융회사들이 금융보안을 준수할 수 있는 자율보안체계를 구축할 수 있도록 규율 체계를 개선하고, 사고 발생 시 과징금 등의 제도 신설을 통해 사후책임 중심으로 규제를 전환한다. 내년 상반기 중 태스크포스(TF)를 구성해 로드맵 검토부터 시작한다.

금융위는 앞서 '제5차 금융규제혁신회의'에서 논의된 내용을 토대로 '금융보안규제 선진화 방안'을 추진하겠다고 27일 밝혔다. 금융위는 최근 클라우드·빅데이터·AI 등 디지털 신기술 활용이 확대됨에 따라 금융보안의 중요성이 증가하고 있는 데 반해, 현재의 금융보안 규제로는 효과적으로 대응하기 어려워 이번 선진화 방안을 마련했다고 설명했다.

금융위는 "금융회사 등은 금융보안을 정보보호최고책임자(CISO) 중심의 실무적 문제로만 인식하고 있으며, 사고 발생시 임기응변식으로만 대응하고 있다"면서 "실제 금융보안을 정보보호 부서에만 맡겨놓고, 현업부서나 내부 감사조직 등을 모두 포함하는 전사적 차원의 금융보안 역할 및 책임 부여는 미흡하다. 또 현재의 보안 규제는 미시적인 규정 중심이며, 사전통제적 성격이 강해 제도 개선의 필요성이 제기된다"고 말했다.

먼저 금융회사 등이 전사적 차원에서 금융보안을 준수하고, 자율보안체계를 구축할 수 있도록 규율체계를 개선한다. 이를 위해 CISO의 권한을 확대하고, 중요 보안사항의 이사회 보고 의무화 등을 통해 금융보안을 기업의 핵심가치로 제고한다. 예컨대 CISO는 리스크 관련 보고 사항을 최고경영자(CEO)에게 직접 보고하거나, 이사회에 중요 보안리스크를 보고한다.

또한 목표·원칙·사후책임 중심으로 규제를 전환한다. 현재 안전성 확보의무를 인력·조직·예산, 내부통제, 시스템 보안, 데이터 보호 등으로 구분해 금융보안의 주요 원칙과 목표를 법에 명시하고, 세부사항은 폐지한다. 이를 위해 '전자금융감독규정' 중 필수사항만을 남기고, 세부적으로 규율할 사항은 가이드라인 또는 해설서 등으로 전환한다.

이를 보완하기 위해 금융회사 등이 자율보안체계를 구축하지 않거나, 보안사고가 발생한 경우 그에 따른 사후책임을 강화한다. 국제기준 등을 고려해 고의‧중과실에 의한 사고 발생 시 과징금 등의 제도 신설을 검토한다는 방침이다.

금융위는 내년 상반기 중 이같은 내용을 다룰 '금융보안 규율체계 정비 TF'를 구성해 장기적인 로드맵에 대한 검토를 시작한다. 현재의 보안규정 우선순위·규제 타당성·보안 역량 등을 종합적으로 평가해 규정을 정비하고 이후 △금융보안 목표·원칙 제시 △자율보안체계 구축 △사후책임 중심 규제 정비 △포지티브→네거티브 방식의 규제 전환 등으로 진행한다는 계획이다.