[아시아경제 이지은 기자]일정 규모 이상의 금융기관은 내년 5월부터 최고정보보호책임자(CISO)를 의무적으로 임명해야 한다.
최한묵 금융감독원 IT감독국장은 3일 명동 은행회관에서 아시아경제신문 주최로 열린 '제1회 아시아경제 금융IT포럼'에서 "CISO의 자격요건 등을 규정한 시행령이 이번주 내로 통과될 예정"이라며 "자산규모 3000억원 이상 혹은 종업원 300명 이상의 금융회사는 내년 5월부터 CISO를 둬야 한다"고 말했다. 인력·예산 등 경영부문에서도 IT가 중요한 비중을 차지하게 됐다.
경영실태평가 내에서 5%에 불과하던 IT금융의 비중이 20%로 확대되며, IT경영실태평가에서 4등급 이하로 평가받을 경우 은행 경영실태평가(CAMELS)에서 2등급 이상을 받을 수 없다. 이 경우 매년 감독원 검사를 받아야 하며, 지점 확장 및 해외점포 설치에 있어 제한을 받게 된다.
정기검사와 함께 '암행감찰'을 통해 평상시 IT보안관리 상태를 살펴볼 예정이다. 최 국장은 "기존에는 사전에 예고 후 검사를 나갔는데, 이제는 암행감찰도 진행할 예정"이라며 "자산규모 2조원 이상의 금융기관은 물론, 카드회사 등 개인정보를 많이 갖고 있는 곳도 감찰 및 테마검사를 실시, IT 경영실태평가에 반영할 것"이라고 말했다.
IT보안사고에 대해 CEO의 책임소재도 폭넓게 물을 예정이다. 그는 "그동안은 CEO들이 IT보안이 아닌 실적에만 신경썼다"며 "그러나 이제 CEO가 금융사고에 대해 책임을 져야 하고, 매년 IT예산을 확인하고 서명해야 한다"고 말했다.
보안인력 확충 의무도 한층 강화했다. 보안 예산을 전체 IT예산 대비 7% 이상 확보하고, IT인력은 총 임직원 수의 5% 이상, IT보안 인력은 IT인력의 5%이상 확보하도록 권고했으며 이에 미달할 경우 홈페이지 내에 공시하도록 했다.
그동안은 개인정보를 유출한 금융사들이 별도 피해보상을 실시하지 않았지만, 이제는 2차 피해에 대해서도 보상해야 한다.
최 국장은 "이전에는 개인정보가 유출돼도 2차적인 피해를 산정하기 힘들었지만, 이제부터는 개인정보가 유출되면 책임지고 2차 피해에 대해 구체적으로 피해보상을 해야 한다"며 "소형 금융사의 경우 회사가 흔들릴 수 있으므로 의무적으로 보험에 가입하도록 했다"고 말했다.
IT아웃소싱 회사들의 경우 금감원이 검사권이 없었으나, 앞으로는 이들 회사의 건전성도 살펴볼 방침이다. 데이터 백업센터가 제대로 마련됐는지도 들여다볼 예정이다. 최 국장은 "내년부터 금융사의 백업센터가 제대로 되어있는지 감독할 예정"이라고 말했다.
이지은 기자 leezn@
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>