IT보안 예산 5% 의무 할당,,경영실태평가에 반영
해킹사고 손배 책임 근거 마련,,이르면 8월 시행
[아시아경제 조태진 기자]앞으로 국내 금융업체들은 정보기술(IT) 보안 업무를 총괄하는 정보보호최고책임자(CISO)를 의무적으로 따로 배치해야 한다. 금융당국 권고 수준에 머물러있는 'IT 보안예산 할당제'도 의무 조항으로 격상되고, 준수 여부가 경영실태평가에 반영된다. 해킹 사고 때에도 금융업체가 손해배상 책임을 질 수 있는 근거도 마련된다.
금융위원회는 23일 현대캐피탈 고객정보 유출, 농협 전산망 사고 직후 구성된 IT 보안대책 태스크포스(TF) 활동 결과를 토대로 '금융회사 IT 보안강화 종합대책'을 발표하고, 전자금융감독규정 및 시행세칙 개정 등 후속 작업을 마쳐 이르면 오는 8월 시행할 예정이라고 밝혔다.
정부는 지난 2009년 연 매출 8000억원 이상 대기업에 대해 CISO 선임을 의무화하는 방안을 검토하기도 했지만, 실제 도입은 이뤄지지 않았다. 현재 CISO 지정 의무화를 골자로 하는 전자금융거래법 개정안이 국회에 계류중이다. 해외에서는 9ㆍ11 테러 이후 IT 정보보호 중요성이 높아지면서 마이크로소프트(MS), 오라클, GE 등 대형 글로벌 업체들은 대부분 CISO를 별도로 배치하고 있다.
이에 대해 이윤재 금융위 의사운영정보팀장은 "CISO를 의무적으로 지정해 책임관리시스템을 구축하고 사고 발생때 제재 수준을 강화할 방침"이라며 "IT 정보교류, 정책방향 협의 등 금융업체와 당국 간 협력체계 강화를 위한 CISO 협의회도 운영할 예정"이라고 말했다.
금융위는 IT 예산비율을 일정 수준 이상 유지하도록 의무화하고, 준수 여부를 경영실태평가 반영해 실질 투자와 인력 확충으로 이어지도록 유도한다는 방침이다. 총자산 규모, 직원 수, 전자금융거래규모 고객 수, 국제 기준 등을 감안해 단계적으로 의무 비율을 높여나갈 계획이다.
이와 함께 최고경영자(CEO)가 연간 IT 보안계획을 직접 승인하고 그 이행 여부를 확인하는 등 전반적인 관심도를 높이도록 했다. 특히 임원성과평가와 연계시키도록 유도할 방침이다.
위반 행위자와 경영진, 금융회사 등 대상별 제재기준이 별도로 마련된다. 대형 사고가 발생한 금융회사에 대해선 최대 업무정지까지 가능하도록 법적 근거가 만들어질 전망이다.
이와 관련 175만명의 고객정보가 해킹으로 유출된 현대캐피탈 정태영 사장에 대한 징계 수위에 대해 성대규 금융위 은행과장은 브리핑에서 "이미 벌어진 사안인 만큼 당시 상황과 법령에 따라 처리하는 게 타당하다"며 제재기준 개정이 소급적용되진 않을 것이라고 답했다.
여신전문금융회사도 IT실태평가 대상에 포함된다. 여전사 업체들도 경영실태평가에 IT 부문을 의무적으로 반영하고, 금감원 감독검사때 업체 평가 중요 기초자료로 활용할 예정이다. 이 밖에 해킹 사고 때 손해배상 책임 소지가 불분명해 고객피해 보상이 제대로 이뤄지지 않은 점을 감안, 해킹 사고 때에도 금융업체가 손배 책임을 질 수 있도록 전자금융거래법 개정을 추진하고, 보상한도 상향 조정도 검토할 방침이다.
이윤재 팀장은 "전산사고 예방에 필요한 최소한 IT 보안업무 처리절차는 관련 모범규준을 마련해 8월 중 시행할 것"이라며 "전자금융감독규정 및 시행세칙 개정 작업도 즉시 착수해 이르면 8월 중에 시행될 수 있도록 하겠다"고 말했다.
조태진 기자 tjjo@
꼭 봐야할 주요뉴스
마스크 다시 꺼내야…'발작성 기침' 환자 33배 급... 마스크영역<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>