금융권 정보보호 상시평가제, 4일 시행…보안 컨설팅 수요↑

게티이미지뱅크
게티이미지뱅크

금융기업·기관 3600여곳을 대상으로 한 정보보호 상시평가제가 4일 시행된다. 보안업계는 금융권 보안 컨설팅 수요가 높아질 것으로 보고 시장 공략에 나섰다.

3일 업계에 따르면 보안 컨설팅 업체에 정보보호 상시평가제 이행을 위한 금융권 문의가 이어지고 있다.

성경원 SK인포섹 컨설팅사업그룹장은 “보안 조직과 컴플라이언스 시스템을 모두 갖춘 대형 금융사를 제외하고 상시평가제를 자체적으로 이행해야 하는 기업과 기관이 어려움을 겪는 상황”이라면서 “제2금융권을 중심으로 문의기업이 늘고 있다”고 말했다.

보안업계는 컨설팅 시장이 커질 것으로 기대한다. 실제로 SK인포섹은 지난달부터 캐피털, 증권사 등 3곳에 대한 정보보호 상시평가제 컨설팅 사업을 진행 중이다. 금융권뿐만 아니라 마이데이터 사업자로 선정된 핀테크 기업에서도 제도 시행에 따른 수요가 늘 것으로 본다.

금융권 정보보호 상시평가제는 금융회사와 금융기관 개인신용정보 관리·보호 수준을 평가해 점수와 등급을 매기는 제도다. 2017년부터 관련 제도가 있었지만 단순 업무 보고, 취약점 점검 부재 등 형식적 수준에 그친다는 지적이 제기됐다. 정부는 지난해 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)을 개정해 상시평가제 시행을 위한 법적 근거를 마련했다.

제도 시행으로 금융사와 신용정보업자는 연 1회 이상 신용정보법 준수 현황을 점검한 뒤 결과를 금융보안원에 제출해야 한다. 금융위원회에 따르면 지난해 10월 기준 총 3653개 기업·기관이 평가 대상에 포함된다.

금융지주사, 은행, 보험사를 비롯해 한국자산관리공사, 한국주택금융공사, 한국무역보험공사, 신용보증기금, 근로복지공단, 서민금융진흥원 등 공공기관도 해당된다.

평가 항목은 동의·수집·제공·삭제 등 정보 생애 주기에 따라 9개 대항목과 143개 소항목으로 구성했다. 금융사 자체 평가, 금융보안원 점검·평가, 금융당국 감독·검사 등 3단계로 진행된다. 직전 연도에 대해 항목별 준수 정도에 따라 이행, 부분 이행, 미이행, 해당사항 없음 등 4단계로 구분해 자체 평가하고 결과를 증빙 자료와 함께 당해 연도 1분기 말일까지 제출하면 된다.

정부는 일정 기간 점수가 우수하고 사고가 없는 기업·기관에는 사고 발생 시 제재 감면 등 혜택이 있는 '안전성 인증마크'를 부여할 계획이다.

금융보안원은 제도 시행을 위해 '상시평가 지원시스템' 구축을 마쳤다. 지난달 27일에는 평가 대상 기업·기관에 세부 운영 가이드라인도 배포했다.

금융보안원 관계자는 “평가 대상 기업·기관은 상시평가 지원시스템을 통해 자체 점검한 뒤 결과를 다음달 31일까지 제출해야 한다”면서 “결과 제출 이후에는 서면 점검을 진행하고 필요 시 온라인으로 회의할 수 있는 시스템도 마련했다”고 설명했다.

이 관계자는 “금융보안원은 정보보호 상시평가제 시행을 통해 금융권 신용정보 관리자 대상 '자율 보안 강화'를 목표로 한다”면서 “제도로 금융권 신용정보 자율 보안 수준이 높아지길 기대한다”고 말했다.

오다인기자 ohdain@etnews.com