앞으로 금융회사가 일으킨 IT 보안사고의 공익침해 정도가 심각할 때는 업무정지 조치까지 내릴 수 있는 법 조항이 만들어진다. 금융회사 최고경영자(CEO)는 사업보고서 확인에 준하는 수준으로 매년 IT 보안계획과 이행여부를 확인해야 한다. 보안전담 인력과 예산비율의 일정 수준 이상 유지를 의무화하고 준수 여부도 경영실태 평가에 반영된다.
금융위원회와 금융감독원은 23일 이 같은 내용을 담은 ‘금융회사 IT 보안 강화 종합대책’을 발표했다. 지난 4월 7일 현대캐피탈 고객정보유출 사건과 4월 12일 농협 전산망 마비 사태 이후 두 달여 만이다.
당국은 최근 잇따르고 있는 금융 보안사고가 CEO의 보안 및 IT 인식 결여에 있다고 보고, CEO 책임과 의무를 강화하는 쪽에 초점을 맞췄다. 향후 금융회사 CEO는 당국의 검사 또는 감독을 받을 때 연간 IT 보안계획을 직접 승인하고, 이행 여부를 점검했는지 확인받게 된다.
이와 함께 IT 보안예산을 비용으로만 인식하는 경향을 뿌리 뽑기 위해 아예 감독규정에 IT 보안인력 비율과 IT 예산비율을 명시해, 일정 수준 이상을 유지하도록 의무화하기로 했다. 이에 대한 준수여부가 경영실태 평가에 반영된다. 지금까지는 IT 실태 평가 대상에서 제외됐던 여신전문금융회사, 금융관련 협회도 대상에 집어넣기로 했다.
당국은 책임을 묻기가 어려웠던 해킹사고 시에도 금융회사 등이 손해배상 책임을 질 수 있도록 전자금융거래법 개정을 추진하고, 보상한도 상향조정도 검토할 예정이다. 외주 인력들에 대한 관리와 책임소재를 분명히 하기 위해 외주 인력을 전자금융 보조업자에 포함시켜, 고의 또는 과실로 인한 사고는 금융회사 책임으로 규정했다. 여전히 사이버테러, 해킹 등에 취약한 비은행, 비증권 중소금융회사들의 대응력을 높이기 위해 이들을 금융 정보공유분석센터(ISAC)에 참가시키기로 했다.
정지원 금융위 기획조정관은 “이번 대책을 반영한 ‘금융회사 IT 보안업무 모범규준’을 8월에 마련해 시행하겠다”며 “우선 전자금융감독규정과 시행세칙 개정으로도 제도 개선이 가능한 사항은 즉시 개정해 조속히 적용할 방침”이라고 말했다.
이진호·박창규기자 jholee@etnews.co.kr
◆뉴스의 눈
정부가 늦게나마 전자금융거래법을 손질해 최고정보보호책임자(CISO) 지정을 금융회사에 의무화한 것은 바람직한 결정이다. 하지만, 여전히 은행 59%, 증권사 40%, 보험사 44%가 CISO 역할을 최고정보화책임자(CIO)가 겸하도록 하고 있어 현장에서 이 CISO 별도지정 의무가 얼마나 지켜질지는 의문이다. 대책이 발표에 그치지 않고, 최소한 금융업권별로 겸임 비율이 한 자릿수 이하로 떨어질 수 있도록 다그치는 일이 중요해 보인다.
CISO 인력이 절대적으로 부족한 것도 난제로 꼽힌다. 보안에는 정통하면서 금융업에 대한 이해도도 높아야 하기 때문이다.
한 금융권 관계자는 “CISO를 영입하기 위해 애를 먹고 있는 곳이 많다. 관련 분야에 대한 지식과 식견이 어느 정도 있으면서도 금융권에 대한 이해도 있어야 하는데 그런 이가 많지 않다. CISO를 맡을 수준의 인력이 시장에 절대적으로 부족한 상황에서 자질 미달인 CISO를 양산해 자칫 부실한 관리로 이어지지 않을지 우려스럽다”고 말했다.
IT 보안예산 및 인력 확충에 대해서도 당국과 현장의 온도차가 심하다. IT 보안예산 비율 5% 유지를 명문화해 놓은 지 2년이 넘었지만, 일부 금융회사는 여전히 1%만 IT 보안에 투자한다. 특별한 제재가 없기 때문이다.
보안인력 수가 감독기준에 명시되면 많은 금융회사들의 기준 위반이 불가피할 전망이다. 한 대형은행 관계자는 “예산은 맞출 수 있다. 하지만 인력은 심각한 상황이다. 가뜩이나 농협과 현대캐피탈 보안사고가 터진 뒤에 인력 가뭄이 심각한 상황이다. IT 인력과 달리 특성상 보안인력은 충원이나 기준 맞추기가 더욱 어렵다”고 말했다.
IT 실태 평가 대상에 할부리스업을 영위하는 금융회사나 금융관련협회 등까지 모두 포함시켰지만, 실상 금감원 등 감독기관의 현 검사인력 규모나 수준으로 늘어난 감독대상을 다 감당할 수 있을지도 의문이다.