전자금융사업자에 대한 재해복구(DR)센터 설치 의무가 확대된다. 전자금융사고로 인한 피해보상 한도도 늘어난다. 빠르게 변화하는 금융 디지털 전환 시대에 대응해 금융보안체계를 강화한다는 취지다.
굼융위원회는 1일 이같은 내용을 담은 전자금융감독규정 개정안에 대한 규정변경을 예고했다.
김소영 금융위 부위원장은 “최근 클라우드 서비스 도입, 인공지능(AI) 활용 등 금융 디지털 전환은 피할수 없는 흐름이 되어가는 동시에 사이버 위협 또한 빠르게 진화하고 있다”며 “디지털 시대 위기에 금융보안 유연성 제고와 복원력 강화에 중점을 두고 전자금융감독규정 개정과 전자금융법 개정을 추진하고자 한다”고 밝혔다.
이번 전자금융감독규정 개정에 따라 DR센터 설치의무가 확대된다. 카카오 데이터센터 화재 이후 DR센터 중요성이 대두됨에 따라, 재해복구센터 구축 의무가 없는 중소금융회사, 전자금융업자에 DR센터 의무구축 필요성이 제기됐다.
이에 따라 총거래액 2조원 이상 전금업자, 총자산 2조원 이상 여전사, 저축은행이 DR센터 구축 의무 대상에 포함된다. 전금업자의 경우 네이버페이, 카카오페이, 토스 등 빅테크뿐 아니라 중소 전금업자들도 의무대상에 포함된다. 기존에 DR센터를 구축했더라도 업무복구 목표시간 설정 의무화 등 감독규정에 따라 DR센터를 운영해야한다.
의무대상에는 58개사가 편입돼 현재 DR센터를 구축하지 않은 11개사가 신규 DR센터 구축이 필요해진다. 금융위원회는 과도한 규제라는 업계의견을 수렴해 개정안 시행 후 최소 6개월 이상 유예기간을 부여할 예정이다.
전자금융사고로 인한 책임이행보험 한도도 상향된다. 현행 선불업·PG업 등 1억원이었던 보상한도를 2억원으로, 여전사와 보험사·저축은행의 보상한도도 현행 1억원에서 2억원으로 늘린다. 최근 3년간 전자금융사고가 자주 발생한 자산 2조원 이상 금투업자에 적용되는 최저보상한도도 현행 5억원에서 10억원으로 올린다.
금융사 최고정보보호책임자(CISO)에 의한 이사회 보고 규정도 마련한다. CISO와 정보보호부서에만 금융보안 책임을 지우지않도록 CISO에 정보보호위원회 주요 심의·의결 사항을 이사회에 보고해 처리하는 규정이다. 향후 법 개정을 통해 금융보안 거버넌스 원칙과 구성원 책임 등을 법률에 규정하고, 감독규정에 세버 거버넌스도 설계할 계획이다.
금융위는 이밖에 293개에 달하는 세세한 행위규칙을 166개로 줄이는 등 원칙 중심 규제완화·규제강화 방안을 제시했다.
금융위는 상반기 감독규정 개정을 시작으로 단계적 금융보안 선진화 방안을 추진한다. △감독규정 개정 △법률개정 △자율보안체계 전환으로 이어지는 금융권 자율보안 토대를 마련한다는 방침이다.
김 부위원장은 “규칙에서 원칙중심으로 규제를 개선해 금융권 자율보안 토대를 마련하는 한편 금융전산 복원력 강화를 통해 전자적 침해, 재해 등으로부터 금융시스템을 안정적으로 보호하고자 한다”며 “금융보안을 전사적 차원 핵심가치로 인식해 전극적 보안투자로 나아가는 기반을 마련할 수 있을 것”이라고 말했다.
정다은 기자 dandan@etnews.com