금융위, 정보보호업무 재위탁 기준 마련

[아시아경제 김혜민 기자] 앞으로 금융사 전자금융거래정보 보호와 관련된 전산장비·소프트웨어 개발 및 유지업무는 제3자에게 재위탁할 수 있게 된다. 또 망분리 의무화를 일괄 적용하기 힘든 외국계 금융사 국내지점 등에는 예외를 허용하기로 했다.

금융위원회는 전자금융거래법개정, 금융권 사이버 안전대책 강화, 금융규제 개혁 관련 후속조치를 추진하기 위해 전자금융감독규정을 개정했다고 12일 밝혔다.

금융위는 우선 정보보호업무의 재위탁 기준을 마련했다. 정자금융거래정보를 보호하고 안전한 처리를 저해하지 않는 범위 내에서 제3자에게 정보보호업무 재위탁을 허용키로 했다. 재위탁 가능업무는 전자금융거래정보의 보호와 관련된 전산장비·소프트웨어에 대한 개발·운영·유지 관리 업무다. 다만 금융거래정보는 위탁회사의 데이터센터에 보관하는 것을 원칙으로 하되 다른 장소로 이전할 경우에는 비식별처리를 의무화하도록 했다.

금융사별로 '보안점검의 날'을 지정해 정보보호최고책임자(CISO) 책임 하에 보안점검도 정기적으로 실시하도록 했다. 외부주문에 대한 통제가 소홀하다는 지적에 따라 외부주문의 단계별 보안관리방안도 준수하도록 했다. 또 외부주문 업무에 활용되는 장소와 전산설비는 내부 업무용과 분리하도록 했다.

전자금융사고를 보고하는 창구도 기존 금융위, 금융감독원에서 금감원으로 일원화되며 정보보호 인력 산정 기준에 비상주 외주인력과 공동수탁사 인력, IT자회사 인력 등도 포함된다. 아울러 외국계 금융사 국내지점 등 망분리 규정을 일괄적으로 적용하기 불가능한 경우에는 금감원장이 인정하는 경우 예외를 허용하기로 했다.

이밖에 다른 법규상 보안성검토를 받는 금융공공기관은 보안성심의 적용을 면제하기로 했다. 금융사의 기술 자율성을 높이기 위해 단말기 보호대책은 중요원칙만 제시, 세부사항은 삭제하거나 조정했으며 특정 인증수단 사용관련 조문을 삭제해 공개용 웹서버 관리를 자율적으로 가능하도록 했다. 또 일회용 비밀번호 등의 거래인증수단으로 새로운 기술을 활용할 수 있도록 자율성을 부여했다.

이 같은 내용을 담은 전자금융감독규정 개정은 오는 14일부터 한달 가량 규정변경예고를 거쳐 내년 1월 마무리될 예정이다.

김혜민 기자 hmeeng@asiae.co.kr