금융 당국이 정상에서 벗어난 전자금융 거래 탐지 강화를 위해 모범 규준을 제정한다. 보이스피싱, 파밍, 스미싱 등 새롭게 등장하는 신종 금융 사고를 막기 위해서다. 금융 IT 보안 규제가 민간 주도 자율 규제에서 당국 주도 사전 규제로 전환하는 첫 단추로 분석된다.
금융감독원은 올해 금융사의 이상 금융 거래 탐지시스템(FDS) 운영과 관련한 모범 규준을 제정할 계획이다. 모범 규준에는 FDS 전담 운용 인력 확보, FDS 탐지 룰 개선 등 시스템 운영 방식을 규정하는 내용이 담긴다.
금융권 FDS 시스템 도입은 2013년 3월에 발생한 농협·신한은행 등의 대규모 전산 사고가 계기로 작용했다. 당시 대규모 전산 사고 이후 금감원 등 유관 기관은 금융전산보안TF를 꾸려 금융전산시설 망 분리를 의무화하고, 금융사 최고IT책임자(CIO)와 최고보안책임자(CISO)를 분리하는 등 '금융전산 보안 강화 종합대책'을 발표했다.
FDS도 감독 당국의 금융 IT 보안 강화 방침에 따라 구축됐다. 금감원은 2014년 당시 행정 조치 형태로 카드사가 운영하는 FDS를 은행과 증권도 구축할 수 있도록 했다. 지난해 기준으로 20개 은행과 26개 증권사 등 총 46개사가 시스템을 구축·운영한다. 거래 예방 비율 97.5% 이상을 기록하고 있다.
금융권은 갑작스런 금융 당국의 FDS 관련 모범 규준 제정 방침에 당황한 기색이 역력하다. 2015년부터 금융위원회 등을 주도로 지속 전환하던 금융IT 자율 규제 방침과 정반대 방향으로 갔기 때문이다. 금융위와 금감원은 '금융전산 보안 강화 종합대책' 시행 이듬해 금융IT 부문 자율 보안 체계 확립 방안을 발표하며 금융권 자율 규제를 유도했다. 매체 분리 원칙과 보안 프로그램 설치 의무, 공인인증서 사용 의무 등 각종 규제를 대거 폐지했다. 금융회사 스스로 정보 보안과 내부 통제를 강화하고, 핀테크 시대에 부응하는 민간 중심 자율 보안 체계 마련 기반을 마련한다는 것이 주된 이유였다.
금융 IT업계 관계자는 “금융 보안이 신뢰 확보를 위해 무엇보다 중요한 원칙이라는 데 공감한다”면서도 “작은 회사는 보안 규정을 피해 가고 일부 금융회사는 최소 숫자만 맞추는 데 급급하던 과거 사전 규제 부작용을 그대로 답습할 수 있다”고 우려했다.
금감원의 사전 규제 전환에 레그테크 등 신기술을 도입하려던 업계 자체 움직임에 제동이 걸렸다. 금융소비자 보호를 핵심 가치로 내건 금감원 규제 방침과 핀테크 혁신을 내건 금융위 정책 방향이 사실상 미묘하게 엇갈리고 있기 때문이다. 한 금융업계 관계자는 “사전 규제를 없애고 혁신 핀테크 도입을 장려하겠다는 금융위 정책 방향과 정반대 움직임”이라면서 “업계 단위에서 논의되던 자체 레그테크 도입도 감독원 감독 방향이 정립된 이후에야 본격화할 수 있을 것”이라고 말했다.
유근일기자 ryuryu@etnews.com