금융보안원(원장 김영기)이 '금융보안 거버넌스 가이드'를 개정해 금융권 정보기술(IT)·보안 인력과 예산에 관한 권고 기준을 제시했다.
전자금융감독규정에는 금융사가 일정 수준 이상 IT·보안 인력과 예산을 확보하도록 권고하는 하한선 기준이 있다. 일명 '5·5·7 기준'은 전체 인력 5% 이상 IT 인력, IT 인력 5% 이상 보안 인력, 전체 IT 예산 7% 이상 보안 예산으로 확보할 것을 권고하는 기준이다.
이 기준이 2일부터 효력을 상실함에 따라 민간 중심 자율 기준이 필요하게 됐다. 금보원은 금융보안 거버넌스 가이드를 개정해 새로운 기준을 권고했다. 이 가이드는 정보보호에 관한 최고경영자(CEO) 의사결정 권한과 책임, 정보보호와 비즈니스 간 전략적 연계 등을 위한 7개 기본 원칙을 정의한 가이드로 2015년 4월 제정됐다.
가이드에는 IT·보안 인력과 예산 확보를 위한 기본 원칙과 최소 예산 기준이 담겼다. 금융사 등은 정보보호를 위해 대내외 환경과 자체 위험 분석 결과를 종합 고려해 보안 인력과 예산을 확보해야 한다. 산정한 보안 인력과 예산 비율이 자사 위험을 적절히 반영했는지 주기적으로 검토해야 한다. 이와 함께 '5·5·7 기준'을 최소한으로 준수해야 한다.
가이드는 2일부터 시행됐다. 금보원 관계자는 “안전하고 신뢰할 수 있는 서비스 제공에 필요한 보안 수준을 금융사 스스로 확보해갈 수 있도록 금융당국과 금융사를 지속 지원할 계획”이라고 말했다.
오다인기자 ohdain@etnews.com
