자산 2조원 이상 금융회사, 전산 취약분석 평가 의무화

금융위 '전자금융감독규정' 개정

[아시아경제 최일권 기자] 총자산 2조원 이상, 상시 종업원수 300명 이상인 금융회사들은 1년에 한번씩 전산 취약점 분석 평가를 받아야 한다. 이를 위해 취약점 분석과 평가를 실시하는 자체전담반을 구성해야 한다. 외부 전문기관에 위탁할 경우 자체전담반 구성의무는 면제된다.

금융위원회는 27일 정례회의를 열고 이 같은 내용의 '전자금융감독규정' 일부개정규정안을 의결하고 관보에 게재한다고 밝혔다.

개정안에 따르면 총자산 2조원 이상, 상시 종업원수 300명 이상인 금융회사는 정보보호최고책임자(CISO)를 임원급으로 임명해야 한다. 상시 종업원이 20명 이하인 신용협동조합, 지역금고 등은 CISO를 대표가 지정할 수 있다.

개정안에는 또 CISO의 소속 임직원에 대한 정보보호 의무교육시간 등 관련 세부절차를 명시해 임원은 연 3시간 이상, 정보보호담당직원은 12시간 이상 교육을 받도록 했다. 일반직원은 6시간 이상이다.

금융회사 내 정보기술보안사항을 심의·의결하는 정보보호위원회 설치 근거규정도 이번에 마련했다. 위원회는 CISO 주관 하에 준법감시인, 정보보호업무 관련 부서장 등으로 구성된다.

또 내년 말까지 모든 금융회사의 전산센터는 금융전산 망분리를 의무화하고 본점과 영업점에 대해서는 2015년 말까지 차단하도록 했다.

이외에 금융위는 각 금융회사에 보안규정 위반에 따른 내부 처벌근거 마련을 의무화하도록 했으며 해외 사이버몰에서 상품을 구입할 경우 결제업무를 대행하는 전자지급결제대행업자의 등록요건도 완화했다.

최일권 기자 igchoi@asiae.co.kr