“4차 산업혁명 일환인 핀테크는 단지 새로운 기술을 금융에 접목하는데 그치지 않고, 금융산업의 틀을 흔드는 와해적 혁신의 촉매로 작용하고 있습니다. 이는 역으로 IT보안리스크를 확대하는 요소가 될 수 있어 금융당국은 IT자율보안체계 정착을 목표로 삼고 있습니다.”
최성일 금융감독원 IT·금융정보보호단장은 핀테크 시대에 걸맞게 감독 방향도 금융사 스스로가 책임을 지는 자율보안체계로 전환해야 한다고 설명했다.
이는 핀테크의 발전으로 금융서비스가 분해되고 탈중개화됨에 따라 금융사가 직접 통제하지 않는 서비스와 프로그램이 점차 증가하고 있다고 부연했다. 외부업체에 의한 개인정보 유출 위험도 지속적으로 높아지고 있다.
최 단장은 “그간 금융당국이 금융사에게 특정 보안·인증 기술의 사용을 의무화하는 등 보안관련 규정을 항목별로 세세하게 규제해왔다면, 이제 금융사 스스로 정보보안과 내부통제를 강화하는 민간중심 자율보안체계 전환이 필요하다”고 말했다.
이러한 IT보안체계가 자리잡기 위해서는 금융사가 소비자 편의를 위해 보다 적극적인 혁신에 나서고 핀테크 기업과 상생하는 생태계 조성이 우선돼야 한다고 밝혔다.
최 단장은 “아웃소싱과 모바일 리스크가 커지고 있는 상황”이라며 “앞으로 이 두 영역의 보안 가이드라인을 정립하고 보다 전문화된 감독역량을 갖추기 위해 여러 준비를 하고 있다”고 설명했다.
금융사 전산장애 사고는 5·5·7 규제 등을 통해 점차 감소하고 있지만, 해킹 등 IT보안사고는 증가하고 있다. 실제 2013년 IT보안사고는 11건이었지만, 올해 상반기에만 21건이 발생했다.
북한 소행으로 추정되는 사이버 위협이 최근 증가한데 이어 랜섬웨어와 웹쉘 등 악성코드를 이용한 사비어 공격, 국제 해커단체의 대규모 디도스 공격이 잇따르고 있다.
금감원으 올해 이 같은 사이버공격 예방을 위해 금융사 망분리 점검을 강화할 계획이다.
최 단장은 “금융사 망분리가 실효성 있게 운용되도록 점검 체계를 보다 강화할 예정”이라며 “망분리에 대한 구체적인 가이드라인을 만들어 IT보안사고를 미연에 방지할 수 있는 생태계 조성에 적극 나서겠다”고 설명했다.
다만, 이 같은 규제가 다양한 신기술을 가로막는 장애요인이 되지 않도록 예외규정을 별도로 만드는 작업도 병행할 계획이라고 부연했다.
효과적인 이상금융거래탐지시스템(FDS) 고도화 작업도 병행한다.
FDS에 대한 구체적인 법규 정비가 마련되지 않은 만큼 금융사별 FDS를 비교평가할 수 있는 지표를 만들고, 관련 약관 등을 개선해 소비자 보호 영역까지 구체화할 수 있는 대안을 마련하겠다고 밝혔다.
최 단장은 “금감원의 감독과 검사방식도 이젠 혁신을 뒷받침하면서 점증하는 사이버위협에 효과적으로 대처하도록 리스크 중심의 감독체계가 필요한 시점”이라며 “IT계량실태 평가와 취약성분석보고서 점검 등을 통해 금융회사의 IT리스크 규모와 관리태세를 상시 감시할 수 있는 체계를 수립할 것”이라고 말했다.
앞으로 기술 혁신이 어떻게 발전해 나갈지 모르는 상황에서 준칙 중심의 경직된 감독에서 벗어나 '원칙 중심의 감독'으로 전환을 추진하겠다는 설명이다.
IT자율보안의 개념도 결국 원칙중심의 감독을 구현하는 것이 핵심이라고 말했다.
최 단장은 “금감원은 혁신 친화적인 입장에서 원칙중심의 규제감독을 추구하고 소비자가 편리하다고 여기면서도 안심하고 금융서비스를 이용할 수 있도록 감독 체계도 혁신해나가겠다”고 밝혔다.
길재식 금융산업 전문기자 osolgil@etnews.com
사진=
박지호기자 jihopress@etnews.com