금융권의 제3자에 대한 정보보호업무 재위탁이 허용된다. 또 정보기술(IT) 부문 정보보호 인력 산정기준에 비상주 외주인력, 공동 수탁사 인력, IT자회사 인력 등을 금융회사 IT인력으로 포함시키기로 했다.
금융위원회는 12일 전자금융거래법 개정, 금융권 사이버 안전대책 강화 방안, 금융규제 개혁 관련 사항 등의 후속 조치를 추진하기 위한 전자금융감독규정을 개정한다고 발표했다.
주요 내용은 전자금융거래정보의 보호와 관련된 전산장비·소프트웨어에 대한 개발·운영·유지 관리 업무의 재위탁이 가능해진다. 또 금융거래정보는 위탁회사의 데이터센터에 보관하는 것을 원칙으로 하지만 제3의 장소로 이전할 때는 비식별 처리를 의무화하도록 했다.
금융회사별로 내부통제 강화를 위해 정보보호최고책임자(CISO)의 책임 하에 금융회사별 보안점검의 날을 지정·운영토록 했다.
이와 함께 외부주문 통제 소홀에 따른 정보유출 방지 등을 위해 외부주문의 단계(입찰, 계약, 수행, 완료)별 보안 관리 방안을 준수하도록 했으며 외부 주문 개발업무에 활용되는 업무 장소와 전산설비를 내부 업무용과 분리 설치하도록 했다.
또 신속한 금융사고 보고체계 구축을 위해 금융회사의 사고 보고창구를 기존 금융위, 금감원에서 금감원으로 일원화하기로 했다.
IT부문 정보보호 인력 산정기준도 변경된다. 비상주 외주인력, 공동 수탁사(코스콤, 저축은행중앙회 등) 인력, IT자회사 인력 등을 금융회사 인력으로 포함시킬 수 있게 된다. 이외에도 외국계 금융회사 국내 지점 등에 대한 망분리 규정에 대한 예외를 허용하기로 했다. 또 다른 법규에 따라 보안성 검토를 받는 금융공공기관의 보안성 심의 적용을 면제하기로 했다.
금융회사의 기술 자율성도 제고한다. 단말기 보호대책에 대한 세부사항과 특정 인증수단의 사용관련 조문을 삭제했으며 액티브엑스(Active-X)를 강제하는 보안 프로그램 설치 의무도 삭제됐다. 일회용 비밀번호 등의 그래 인증수단으로 새로운 기술을 활용할 수 있도록 자율성을 부여하기로 했다.
금융위는 규정 변경예고를 거쳐 내년 1월까지 감독규정 개정 절차를 마무리할 방침이다.
홍기범기자 kbhong@etnews.com