금융위원회는 급변하는 IT환경과 새로운 보안 리스크에 금융회사 등이 탄력적으로 대응할 수 있도록 금융보안규제 선진화 방안을 마련하고, 지난해 12월 20일 제5차 금융규제혁신회의에서 해당 안건을 논의했다. 

금융보안규제 선진화 방안 주요 내용은 △금융회사 등이 전사적 차원에서 보안을 준수하고, 리스크 기반의 자율보안체계를 구축할 수 있도록 규율체계를 개선 △목표·원칙중심, 사후책임 중심으로 보안규제를 전환 △금융보안 전문기관이 금융회사 등의 보안체계를 검증하고 컨설팅할 수 있도록 지원 기능을 강화한다는 내용이다. 

금융위원회는, 금융규제혁신회의 논의사항을 바탕으로 2023년 상반기 중 금융보안 규율체계 정비 TF를 구성하여 보안규제 선진화 로드맵을 검토할 예정이라고 밝혔다. 

최근 금융분야에서 클라우드·빅데이터·AI 등 디지털 신기술 활용이 확대됨에 따라 금융보안의 중요성이 증가하고 있다. 신기술 도입에 따른 보안 취약점을 이용한 랜섬웨어, DDoS 공격 등 사이버 위협의 유형도 다변화하고 있으며, 빅테크의 금융업 진출, 클라우드 등 아웃소싱 확대 등으로 제3자 리스크(3rd Party Risk)가 심화되고 있는 상황이다.

그러나 현재 금융보안 규제는 급변하는 IT환경과 보안 리스크에 효과적으로 대응하기 어렵다는 의견이 지속 제기되고 있다.

이에 따라, 디지털 금융혁신을 뒷받침하면서 리스크에 효과적으로 대응할 수 있는 금융보안 규제 선진화 방안을 마련했다고 밝혔다.

◇현황 및 문제점

▲금융보안 거버넌스의 문제: 금융회사 등은 금융보안을 정보보호최고책임자(CISO) 중심의 실무적 문제로만 인식하고 있으며, 사고 발생시 임기응변식으로 대응하고 있는 실정이다.

금융보안을 기술적 영역으로 한정함에 따라, 기업의 핵심전략과 우선순위 등을 반영한 종합적인 보안전략 수립이 어려우며, 자율보안체계 구축을 위한 자체 리스크 평가, 전문인력 육성 등에 대한 투자도 미흡하여 보안 리스크 대응에 한계가 있다.

▲금융보안 규제의 문제: 현 보안 규제는 미시적인 규정 중심이며, 사전통제적 성격이 강하여 제도개선의 필요성이 제기되고 있다.

급변하는 IT환경을 신속하게 반영하지 못하는 경직적 규정으로 인해 새로운 리스크에 효과적으로 대응하기 곤란한 상황이다.

예를 들어, ①빅테크 등 전금업자의 규모·영향력이 증가했음에도 불구하고 재해복구센터 설치의무가 면제되어 있고, ②전자금융사고의 파급력이 확대됐음에도, 사고시 책임이행을 위한 보험 가입기준은 과거에 머물러 있다. 

또 보안규정 준수가 금융회사 등의 보안 목표로 인식되어, 수동적인 보안 활동에 머무르는 한계가 있다.

규정상의 보안 의무만 준수하면 모든 보안 책임을 다하는 것이라는 인식이 만연하고, 감독규정상 보안방법 등을 특정함에 따라 자율적으로 동일 목적을 달성하거나 보안을 강화할 수 있는 타 방법에 대한 가능성을 차단하고 있다는 문제다. 

그리고 금융회사 등의 규모, 성격 등에 따른 리스크 경중을 고려하지 않고 평균 수준의 금융회사를 상정하여 통일된 의무를 부과함에 따라, 영세한 전금업자의 경우 규제 준수가 어려운 실정이다.

◇개선방안

개선방안으로는 우선 금융회사 등이 전사적 차원에서 금융보안을 준수하고, 자율보안체계를 구축할 수 있도록 규율체계를 개선하겠다는 것. 

정보보호최고책임자(CISO)의 권한을 확대하고, 중요 보안사항의 이사회 보고 의무화 등을 통해 금융보안을 기업의 핵심가치로 제고한다.

그리고 금융회사 등이 보안리스크를 스스로 분석‧평가하고, 리스크에 비례하여 보안방안을 수립할 수 있는 리스크 기반의 “자율보안체계”로의 전환을 추진한다. 

또 보안규제 정비를 통해 목표·원칙중심, 사후책임 중심으로 규제를 전환할 방침이다. 금융당국은 원칙‧상위기준을 제시, 목표 달성과정은 금융회사 등의 자율적인 판단을 존중하겠다는 것. 

▲현재 안전성 확보의무를 인력·조직·예산, 내부통제, 시스템 보안, 데이터 보호 등으로 구분하여 금융보안의 주요 원칙과 목표를 법에 명시하고 세부사항은 폐지한다. 

이를 위해 전자금융감독규정｣(§8~37) 중 필수사항만을 남기고, 세부적으로 규율할 사항은 가이드라인 또는 해설서 등으로 전환한다.

예를들어, ①필요‧최소한의 보안 인력, 예산, 조직 등은 진입요건으로 전환하고, ②침해사고 대응, 재해복구, 자율보안체계 구축 등의 필수요소만을 규율, ③기술적이고 세세한 보안규정은 가이드라인이나 해설서 등으로 전환한다. 

▲한편 금융회사 등이 자율보안체계를 구축하지 않거나, 보안사고가 발생한 경우 그에 따른 사후책임을 강화한다. 

국제기준 등을 고려하여, 고의‧중과실에 의한 사고 발생시 과징금 등의 제도 신설을 검토할 예정이다.

▲관리‧감독 선진화를 통해 금융당국의 관리‧감독방식을 자율·책임 원칙으로 전환하고, 금융보안 전문기관을 통해 금융회사 등의 자율보안체계 검증 및 이행 컨설팅 기능을 강화할 방침이다. 

이를 위해, 2023년 상반기 중 금융보안 규율체계 정비 TF를 구성해 장기적 로드맵에 대한 검토를 시작할 예정이다. 

아래 제시된 방향으로 로드맵을 검토하되, 구체적인 시행 일정도 함께 마련할 예정이다.

-1단계는 현 보안규정의 우선순위, 규제 타당성, 금융회사 등의 보안역량 등을 종합적으로 평가하여 규정을 정비한다.  

예를 들어, 최근 데이터센터 화재 후속조치로서, ①일정규모 이상 전금업자 등의 재해복구센터 설치의무 신설 검토, ②전자금융사고시 책임이행을 위한 보험금 가입기준을 상향하는 방안을 검토하는 것 등이다. 

-2단계는 금융보안의 목표‧원칙을 제시하고, 금융회사 등의 자율보안체계 구축 및 사후책임 중심으로 규제를 정비한다. 

예를 들어, ①금융회사 등의 리스크관리체계 및 보안역량에 따른 표준지침 등을 제시,  ②제3의 전문기관(금융보안원 등)을 통한 금융회사 등의 자율보안체계 검증 및 지원, ③과징금, 손해배상 책임 등 엄격한 사후책임 규제를 도입하는 방안이다. 

-3단계는 포지티브 규제체계에서 네거티브 방식으로 전환해 금융회사 등에 보안 자율성을 부여한다. 

★정보보안 대표 미디어 데일리시큐!