금융회사는 앞으로 권한이 없는 직원이 고객 정보에 접근·열람하는 것을 통제해야 한다. 전체 인력의 5%는 IT 인력으로 확충해야 하며 그렇지 못할 경우 사유를 홈페이지에 공시해야 한다.
금융위원회는 최근 일부 금융회사의 고객 정보 유출 사건을 계기로 전자금융감독규정을 개정하고 이를 10일부터 시행한다고 밝혔다.
감독규정은 고객 정보가 포함된 PC에 대해 사전 업무용도를 지정해 접근 권한이 없는 직원의 입력·출력·열람을 통제하도록 했다. 금융회사는 다음 사업연도부터 전체 인력의 5%를 IT 인력으로, IT 인력의 5%를 보안인력으로 확보해야 한다. 단, 금융지주사 전산자회사 직원은 IT 인력으로 추가 인정하기로 했다. IT 예산 7%는 IT 보안 예산으로 사용해야 한다.
금융위는 여신전문금융회사와 은행연합회, 보험협회, 금융투자협회 등도 IT 실태평가 대상에 추가했다. 할부·리스업체는 그동안 실태 평가 대상에서 제외됐다. 추가된 대상은 IT 실태평가를 경영실태평가에 의무적으로 반영해야 한다. 또 IT 업무를 외부에 위탁하는 금융회사는 외주인력 신원조회 등 외주 인력관리방안을 세워야 한다.
금융위는 당초 IT 인력과 예산기준의 이행을 의무화하고 이를 지키지 못한 금융회사 임직원을 제재할 방침이었지만, 규제개혁심의위원회 권고를 수용해 수위를 낮췄다.
금융위 관계자는 “입법예고와 규제개혁위원회 심사 중 제시된 의견을 개정안에 최대한 반영했다”며 “지난 6월 발표한 ‘금융회사 IT보안강화 종합대책’ 중 감독규정에 반영되지 않은 사항은 전자금융거래법과 IT 모범규준에 반영, 추진할 계획”이라고 말했다.
박창규기자 kyu@etnews.com