금융업체 정보보호최고책임자 배치 의무화(종합)

금융위, 금융회사 IT보안강화 종합대책 발표
IT보안 예산 5% 의무 할당,,경영실태평가에 반영
해킹사고 손배 책임 근거 마련,,이르면 8월 시행

[아시아경제 조태진 기자]앞으로 국내 금융업체들은 정보기술(IT) 보안 업무를 총괄하는 정보보호최고책임자(CISO)를 의무적으로 따로 배치해야 한다. 금융당국 권고 수준에 머물러있는 'IT 보안예산 할당제'도 의무 조항으로 격상되고, 준수 여부가 경영실태평가에 반영된다. 해킹 사고 때에도 금융업체가 손해배상 책임을 질 수 있는 근거도 마련된다.

금융위원회는 23일 현대캐피탈 고객정보 유출, 농협 전산망 사고 직후 구성된 IT 보안대책 태스크포스(TF) 활동 결과를 토대로 '금융회사 IT 보안강화 종합대책'을 발표하고, 전자금융감독규정 및 시행세칙 개정 등 후속 작업을 마쳐 이르면 오는 8월 시행할 예정이라고 밝혔다.

CISO 별도 지정은 대다수 금융업체들이 정보최고책임자(CIO)가 CISO를 겸직하고 있는 데 따른 부작용을 최소화하기 위한 조치다. 실제로 국내 은행 59%가 CIO가 CISO를 겸하고 있으며, 증권과 보험사는 각각 40%와 44%가 겸직 체제를 가동중이다.

정부는 지난 2009년 연 매출 8000억원 이상 대기업에 대해 CISO 선임을 의무화하는 방안을 검토하기도 했지만, 실제 도입은 이뤄지지 않았다. 현재 CISO 지정 의무화를 골자로 하는 전자금융거래법 개정안이 국회에 계류중이다. 해외에서는 9ㆍ11 테러 이후 IT 정보보호 중요성이 높아지면서 마이크로소프트(MS), 오라클, GE 등 대형 글로벌 업체들은 대부분 CISO를 별도로 배치하고 있다.

이에 대해 이윤재 금융위 의사운영정보팀장은 "CISO를 의무적으로 지정해 책임관리시스템을 구축하고 사고 발생때 제재 수준을 강화할 방침"이라며 "IT 정보교류, 정책방향 협의 등 금융업체와 당국 간 협력체계 강화를 위한 CISO 협의회도 운영할 예정"이라고 말했다.

IT보안 예산 할당 의무화는 그동안 5% 이상 유지하도록 권고하는 수준에서는 준수 의무가 없어 제대로 지켜지지 않고 있는 데 따른 것이다. 이번 현대캐피탈 및 농협 사태 이후 IT보안업무 전담부서를 별도로 운영하는 금융회사가 상대적으로 적고, 전담 인력과 예산 운영도 턱없이 부족한 것으로 나타났다.

금융위는 IT 예산비율을 일정 수준 이상 유지하도록 의무화하고, 준수 여부를 경영실태평가 반영해 실질 투자와 인력 확충으로 이어지도록 유도한다는 방침이다. 총자산 규모, 직원 수, 전자금융거래규모 고객 수, 국제 기준 등을 감안해 단계적으로 의무 비율을 높여나갈 계획이다.

이와 함께 최고경영자(CEO)가 연간 IT 보안계획을 직접 승인하고 그 이행 여부를 확인하는 등 전반적인 관심도를 높이도록 했다. 특히 임원성과평가와 연계시키도록 유도할 방침이다.

위반 행위자와 경영진, 금융회사 등 대상별 제재기준이 별도로 마련된다. 대형 사고가 발생한 금융회사에 대해선 최대 업무정지까지 가능하도록 법적 근거가 만들어질 전망이다.

이와 관련 175만명의 고객정보가 해킹으로 유출된 현대캐피탈 정태영 사장에 대한 징계 수위에 대해 성대규 금융위 은행과장은 브리핑에서 "이미 벌어진 사안인 만큼 당시 상황과 법령에 따라 처리하는 게 타당하다"며 제재기준 개정이 소급적용되진 않을 것이라고 답했다.

여신전문금융회사도 IT실태평가 대상에 포함된다. 여전사 업체들도 경영실태평가에 IT 부문을 의무적으로 반영하고, 금감원 감독검사때 업체 평가 중요 기초자료로 활용할 예정이다. 이 밖에 해킹 사고 때 손해배상 책임 소지가 불분명해 고객피해 보상이 제대로 이뤄지지 않은 점을 감안, 해킹 사고 때에도 금융업체가 손배 책임을 질 수 있도록 전자금융거래법 개정을 추진하고, 보상한도 상향 조정도 검토할 방침이다.

이윤재 팀장은 "전산사고 예방에 필요한 최소한 IT 보안업무 처리절차는 관련 모범규준을 마련해 8월 중 시행할 것"이라며 "전자금융감독규정 및 시행세칙 개정 작업도 즉시 착수해 이르면 8월 중에 시행될 수 있도록 하겠다"고 말했다.

조태진 기자 tjjo@