금융보안, 앞으론 금융사가 알아서 한다

[아시아경제 이승종 기자] 앞으로 금융사는 자체적으로 보안성 검토 체계를 구축하고, 정보기술(IT) 인력들의 협의체를 구성해 보안 정보를 공유한다. 혹시 모를 이상거래는 금융보안원을 중심으로 공동 대응에 나선다.

19일 금융당국은 이 같은 내용을 골자로 하는 '금융IT부문 자율보안체계 확립 방안'을 발표했다. 당국이 시중 금융사의 자율 보안체계 점검에 나서는 건 이달로 금융감독원의 보안성심의가 폐지되기 때문이다.

보안성심의는 금융회사 및 전자금융업자가 신규 전자금융서비스를 수행할 경우 전자금융 부정사용 예방, 금융정보 유출방지 등의 적정성에 대해 금감원이 보안성을 심의하는 제도를 말한다. 금감원이 해당 서비스에 대한 보안성을 체크리스트에 기반해 검토한 뒤 심사가 통과된 경우에만 서비스를 제공할 수 있다.

그러나 지난해부터 여러 핀테크(금융+기술) 스타트업들이 은행 등 금융사와 연계한 새로운 서비스를 출시하려고 해도 이 규정에 발목 잡혀 새로운 서비스를 제때 출시할 수 없다는 지적이 빗발치자, 당국은 아예 심의 자체를 폐지했다. 대신 은행 등 금융사는 자체 보안성 심의를 거쳐 결과보고서를 금감원에 제출해야 한다.

정부는 기존의 사전규제가 민간 중심의 자율규제로 바뀌는 만큼, 금융사들 스스로가 보안체계 확립에 신경써야 한다는 입장이다.

우선 당국은 IT감사 역량이 부족한 중소형 금융사를 위해 IT 내부감사 가이드라인 및 IT 내부감사요원 교육프로그램을 마련한다. 보안 점검의 실효성 제고를 위해 지나치게 세세한 점검항목은 필수항목 위주로 개편할 방침이다.

전자금융사고가 빈발한 금융사에게는 책임보험 가입금액을 적정수준 이상으로 증액토록 권고키로 했다. 금융사 스스로 전자금융거래 규모, 사고발생 추이, 보안 투자규모 등을 종합적으로 검토해 적정 보험가입 금액을 산정하면 된다.

정부는 이상금융거래 탐지시스템(FDS) 정보 공유체계 구축에도 나선다. 이상금융거래 정보공유를 위한 공통 기준을 마련하고 금보원에 'FDS 정보공유 시스템'을 구축한다.

또 시장의 금융IT 협의체를 금융위·금감원-금융회사, 금융회사 간, 권역 간, 직급별(관리자, 실무자) 등으로 다각화하고 정례화한다. 협의체에서는 금융보안 우수·사고사례를 전파하고 규제 개선사항 발굴을 주로 한다.

금융회사 자체적인 보안성 검토 지원체계 구축도 돕는다. 금융회사가 자체 보안성 검토 시 활용할 수 있도록 금감원의 보안성심의 주요 사례를 분석·제공한다. 금융사가 객관적인 전문가 진단이 필요하면 금융보안 전문기관에 보안성 검토를 의뢰할 수 있는 프로세스도 구축한다.

핀테크 기업은 자신이 보유한 기술에 대해 금융보안 전문기관에게 보안수준 진단을 의뢰할 수 있게 된다. 이를 위해 당국은 세부 절차 및 운영환경을 마련한다.

금감원은 금융IT 부문에 대한 상시감시 체계를 강화한다. IT부문 계획서, 취약점 분석·평가보고서 등의 표준양식을 제정하고 이에 대한 점검을 강화한다.

김유미 금감원 IT·금융정보보호단 선임국장은 "금융사의 자체 보안성 검토 결과 점검 및 시장 모니터링을 강화하고 취약점이 발견되면 필요시 개선을 권고할 계획"이라고 밝혔다.

이승종 기자 hanarum@asiae.co.kr