경미한 전산장애 소비자보호 조치 시 면책
"최고정보보호책임자에게 예산·인력 권한부여"
금융회사가 보안목적 인공지능(AI) 테스트나 보안패치 실행 등을 하는 과정에서 경미한 전산 장애가 발생해도 소비자 보호 조치를 마련했다면 제재를 면할 수 있게 된다.
금융위원회는 지난달 30일 면책심의위원회를 열고 AI 보안테스트·보안패치 과정에서 발생하는 전산장애에 대한 면책조치를 심의·의결했다고 2일 밝혔다. 금융사 AI 보안위협 대응 요령을 담은 가이드라인인 '프런티어(최첨단) AI 보안위협 금융분야 대응요령'도 마련해 배포했다고 알렸다.
면책조치의 핵심은 보안 목적으로 AI를 다루다 전산 장애가 발생해도 신속히 복구하고 소비자 보호 체계를 잘 갖추면 제재에서 빼준다는 것이다.
면책대상은 ▲보안 목적의 AI를 통해 보안테스트를 하거나 금융위·금융감독원·금융보안원에서 전파하는 보안 취약점에 대해 긴급 보안 패치 또는 이에 준하는 전산장비 변경 등을 한 경우를 포괄한다.
면책요건은 경미한 전산장애에 대해 신속한 복구 수단 및 소비자 보호 조치 마련·이행 여부 등을 종합적으로 고려할 예정이다. 경미한 전산장애는 검사·제재 규정 시행세칙상 제재 대상에 해당하지 않는 정보기술(IT) 사고 중 고의성이 없고 1억원 미만의 금전 피해, 최대 4시간 이내의 시스템 장애 시간, 개인 신용 정보 제외 1만건 미만의 고객 정보 유출 등 일정 기준을 충족하는 경우를 의미한다.
신속한 복구 수단은 사전테스트, 피해확산 방지 및 서비스 연속성 확보를 위한 작업계획서를 마련해 경영진에 보고한 경우를 뜻한다. 소비자 보호 조치는 대고객 사전 안내 및 피해 구제 방안을 마련하고 이행한 경우 인정된다. 홈페이지, 문자(SMS) 등을 통해 보안테스트 또는 패치 일시·대상·내용·대체 서비스 경로 등을 고객에게 사전에 안내하고 소비자 피해 발생 시 구제조치를 마련·실행한 경우다.
면책범위는 기관·임직원 제재·신분제재, 과태료 등을 포괄한다. 다만 신용정보법에 따라 개인 신용정보 유출 사고가 발생하면 면책조치와 관계없이 법에 따라 제재 조치한다.
금융위는 금융사에 AI 보안위협 대응요령 가이드라인을 배포하기도 했다. 가이드엔 ▲경영진 책임 강화 ▲취약점 및 패치관리 ▲자산·공급망 관리 ▲AI 기반 방어 자동화 ▲금융권 공동대응 및 복원력 강화 ▲침해확산 방지 체계 등 6개 분야 대응 요령이 담겼다.
금융위는 금융사에 이사회와 최고경영자(CEO)가 최고정보보호책임자(CISO)에게 실질적인 예산 편성권과 인력 운영의 권한을 부여하는 것이 바람직하다고 강조했다. 또한 AI 보안 위협 모니터링 및 신속한 대응을 위해 CISO 직속 대응반을 구성·운영할 수 있다고 권고했다.
꼭 봐야 할 주요 뉴스
"지금 팔 때아니다, 급락할 때 더 사라"…증시 흔...
금융위 관계자는 "면책 방안과 가이드라인 배포를 통해 금융업계가 보다 적극적이고 신속하게 관리강화 조치에 나서줄 것을 기대한다"며 "망 분리 규제 전면 해제 등을 포함해 금융권의 AI 대전환을 지원할 다양한 정책 과제를 적극 추진해 나갈 예정"이라고 말했다.
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제. 무단전재 배포금지, AI 학습 및 활용 금지>