[금융IT포럼] 최재환 "전사적 정보보호체계 구축해야"

[아시아경제 조강욱 기자] 최재환 김앤장법률사무소 금융IT전문위원(사진)은 6일 열린 '제2회 아시아경제 금융IT포럼'에서 "금융 IT 부문의 리스크 관리를 위해서는 최고경영진이 참여하는 전사적 정보보호체계를 구축해야 한다"고 말했다.

최 위원은 이날 '금융정보보호 거버넌스 강화를 위한 실천과제'라는 주제의 강연에서 "IT 리스크가 금융회사의 전체 경영평가에 반영되고 전자금융사고에 대한 금융회사의 손해배상 부담이 커지고 있다"며 이 같이 밝혔다.

그는 금융IT 관련 사고의 원인을 IT 내부통제의 복합적 실패, 기술적·관리적 취약점, 내부직원에 의한 고의적 정보유출, 아웃소싱 관리 미흡, 백업 및 비상대책 미흡, 사고 대응능력 미흡 등으로 꼽았다. 이에 따라 금융당국의 감독 및 규제가 강화되고 있다는 것.

특히 최 위원은 "최근 금융IT 규제가 기술적 규제 중심에서 거버넌스(CISO, 인력, 예산, 아웃소싱) 규제 중심으로 변화하고 있고 규정중심 규제(Rule Base Regulation)가 더욱 강력해지고 있다"고 지적했다.

아울러 전자금융거래법, 신용정보법 등 금융관련법 준수 외에 개인정보보호법, 정보통신망법 등이 금융비즈니스에 큰 영향을 미치고 있으며 IT사고 발생 시 해임, 직무정지, 문책경고 등 경영진에 대한 책임성이 강조되고 있다고 덧붙였다.

최 위원은 "금융 부문에 대한 규제가 강화되면서 정보보호에 역량을 집중해야 할 필요성이 커졌다"면서 "특히 개인정보보호법을 준수해야 하고 손해배상이나 집단소송 등 다양한 이슈에 대응하는 전문역량이 필요하다"고 강조했다.

그는 이를 위한 실천과제로 완벽한 기술적·관리적 정보보호, 철저한 아웃소싱 관리, 법규준수(Compliance) 활동 강화, 감독당국의 검사 및 조사에 대한 대비, IT사고 발생에 대비한 종합적 대응 역량 구비 등을 제시했다.

최 위원은 "금융회사는 위기대응 행동매뉴얼 또는 비상대책을 마련해야 한다"면서 "또 회사 내 태스크포스팀(TFT)을 구성하는 것은 물론, 사고대응 전문 법률조력팀과 협업 체제를 구축해야 한다"고 제언했다.

이어 그는 "금융위기 이후 서민금융이 화두가 되면서 현재는 금융 부문에서 소비자 보호가 대세로 자리 잡았다"면서 "이는 사회적인 큰 흐름이기 때문에 금융 IT 분야에 있어서 소비자 보호를 위한 규제는 더욱 강화될 것"이라고 덧붙였다.

조강욱 기자 jomarok@